uc. josÉ de la - unam

TEMA 11

SITUACIÓN ACTUAL DE LA CERTIFICACIÓN ELECTRÓNICA NOTARIAL EN MÉXICO

Comdinadm y Ponente:

uc. j o s É NINO DE LA SELVA

Esta revista forma parte del acervo de la Biblioteca Jurídica Virtual del Instituto de Investigaciones Jurídicas de la UNAM www.juridicas.unam.mx http://biblio.juridicas.unam.mx

DR © 2004. Asociación Nacional del Notariado Mexicano, A. C.

Debemos tener como presupuesto, al hablar de contratación, comunicación o comercio por vía electrónica, que se trata de una actua- ción entre dos o m& personas que no se encuentran presentes en el mismo lugar, o en el mismo tiempo, y dicha actuación requiere, para su plena eficacia, seguridad tecnológica, jurídica, y legislativa.

La Criptografía de Clave (o llave) Pública sirve específicamente para solucionar los problemas que afectan a los documentos electrónicos mediaute encriptacióu:

Autenticidad. Se refiere a la capacidad de establecer si una determinada persona es el autor de un documento o si ha establecido su reconocimiento y/o compromiso sobre el contenido del mismo.

Confidencialidad. Se refiere a la capacidad de mantener un documento electrónico como inaccesible para otros, excepto para la o las personas elegidas por el remitente de dicho documento.

Integridad. Se refiere a la posibilidad de que un documento elec- trónico no sea modificado, más que por su autor.

No Repudiación. Se refiere a la posibilidad de que la recepción de un mensaje de datos no pueda ser negada.

Autenticidad, Integridad. El sujeto A (remitente) encripta el documento con su clave privada; el sujeto B (destinatario) lo desencripta con la clave pública de A. De esta forma tiene la certeza de que A lo generó: sólo A pudo tiaberlc rlaborado ya que es el único poseedor de la correspondiente clave privada.



Confidencialidad, no repudiación. El sujeto A (remitente) encripta el documento con la clave pública de B; el sujeto B (destinatario) lo desencripta con su propia clave privada. De esta forma, sólo B puede desencripiarlo, por ser el único poseedor de la correspondiente clave privada.

Con lo anterior tenemos cumplida la premisa de la seguridad tecnológica.

No obstante lo anterior y las bondades tecnológicas de la Firma Digital, su uso presenta problemas prácticos de tipo jurídico, en casos de controversia, tales como falta de:

Ihtajicación. No se da cabida a la realización de transacciones elec- trónicas si no están plenamente identificados los participantes.

Declaración. La firma es utilizada como una forma de manifestar la voluntad sobre la autoría o reconocimiento del contenido de un documento.

Prueba. La finna tiene un distinto valor probatorio cuando se plasma en un documento privado que cuando se hace en un documento público.

La implementación de un Sistema Integral para la Certificación y Registro de Firmas Digitales ofrece prueba inequívoca de la autenticidad de un documento electrónico firmado digitalme~ite y permite que: A) Se vincule "Legalmente" la identidad de un sujeto a su firma digital; B) Se garantice la "No Duplicidad'' de las Claves (Pública y Privada); C) Se distribuya o Publicite de manera confiable la clave pública de los distintos sujetos.

Esto funciona de la siguiente manera:

El usuario genera con un software específico, un par de claves (pública y privada) y el requerimiento de certificación de su clave pú- blica y acude con un Notario.

El Notario (Agente Certificador) verifica la identidad y la personalidad jurídica del usuario y genera un pre-certificado, que electróni- camente y en tiempo real, envía a una Agencia Certificadora (AC).

La AC verifica el pre-certificado, genera el certificado y lo manda registrar a una Agencia Registradora (AR), la que automáticamente pide información a una Agencia Registradora Central (ARC), y regis tra el certificado en su base de datos.

La ARC lo notifica a la AR y a la AC y esta última envía el certificado ya registrado al Notario que lo solicitó. El Notario entrega al



Usuario el certificado ya registrado por el Notario mismo y firma el acta notarial correspondiente.

La AR mantiene la lista de certificados emitidos y la ofrece a los usuarios de manera electrónica.

Para usar su Certificado Notarial, el usuario envía un documen- to con su firma electrónica y su certificado digital (órdenes de com- pra, órdenes de pago, etc.) a su contraparte, quien obtiene la clave pública del certificado y verifica la firma en la ARC y/o en la AR, verifica la autenticidad del certificado, su vigencia y que éste se encuentre en la lista de los registrados.

Todo lo anterior ya funciona y existe en México, y tiene su fundamento legal en las reformas y adecuaciones jurídicas siguientes:

El 29 de mayo de 2000, se publicó el decreto por el que se reforman y adicionan diversas disposiciones del Código Civil para el Distri- to Fedex-al, del Código Federal de Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor.

Debido a la Importancia de este ordenamiento, y para mayor claridad del presente trabajo, a coritinuación se incluye anexo.

DECRETO por el que se rerorman y adicionan diversas disposiciones del Código Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal, del Código Federal de Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor.

Al margeri un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.-Presidencia de la República.

ERnTESTO ZEDILLO PONCE DE LEON, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:

Que el Honorable Congreso de la Unión, se ha servido dirigir- me el siguiente

DECRETO

"EL CONGRESO DE LOS ESTADOS UNIDOS MEXICANOS. - - - - - -. D E C R E T A .

REFORMAN Y ADICIONAN DIVERSAS DISPOSICIONES DEL CÓDIGO CML PAR4 EL DISTRITO FEDERAL EN MATERIA COMUN Y PARA TODA LA REP~BLICA EN MATERIA FEDEKAL, DEL CÓDIGO FEDERAL DE PROCEDIMIENTOS CMLES. DEL CODI- GO DE COMERCIO Y DE LA LEY FEDERAL DE PROTECCI~N AL CONSUMIDOR.



ART~CULO PRIMERO.-Se modifica la denominación del Código Civil para el Distrito Federal cri Materia Común y para toda la Re- pública en Materia Federal, y con ello se reforman sus artículos l?, 1803, 1805 y 1811, y se le adiciona el artículo 1834 bis, para quedar como sigue:

"CÓDIGO CML FEDERAL

~ T ~ C U L O lq-Las disposiciones de este Código regirán en toda la República en asuntos del orden federal.

ART~CULO 1803.-E1 consentimiento puede ser expreso o táci- to, para ello se estará a lo siguiente:

1. Será expreso cuando la voluntad se manifiesta verbalmente, por escrito, por medios elecuónicos, ópticos o por cualquier otra tecriología, o por signos inequívocos, y

11. El tácito resultará de hechos o de actos que lo presupongan o que autoricen a presumirlo, excepto en los casos en que por ley o por convenio la voluritad deba manifestarse expresamente.

ART~CULO 1805.-Cuando la oferta se haga a una persona presente, sin fijación de plazo para aceptarla, el autor de la oferta queda desligado si la aceptación no se hace inmediatamente. La misma regla se aplicará a la oferta hecha por teléfono o a través de cualquier otro medio electró~~ico, óptico o de cualquier otra tecno- logía que permita la expresión de la oferta y la aceptación de ésta en forma inmediata.

ART~CULO 1811.-.. . Tratándose de la propuesta y aceptación hechas a través de

medios electrónicos, ópticos o de cualquier otra tecnología no se requerirá de estipulación previa entre los contratantes para que produzca efectos.

MCULO 1834 BIS.-LOS supuestos previstos por el articulo anterior se tendrán por cumplidos mediante la utilización de medios electrónicos, ópticos o de cualquier otra tecnología, siempre que la información generada o coniuiiicada en forma íntegra, a través de dichos medios sea atribuible a las personas obligadas y accesible para su ulterior consulta.

Eri los casos en que la ley establezca como requisito que un acto jurídico deba otorgarse en instrumento ante fedatario público, éste y las partes obligadas podrán generar, enviar, recibir, archivar o comunicar la información que contenga los términos exactos en que las partes han decidido obligarse, mediante la utilización de medios electrónicos, ópticos o de cualquier otra tecnología, en cuyo caso el fedatario público, deberá hacer constar en el propio instrumento los elementos a través de los cuales se atribuye dicha informa- ción a lar partes y conservar bajo su resguardo una versión integra



de la misma para su ulterior corisulta, otorgando dicho instrumento de conformidad con la legislación aplicable que lo rige."

ART~CULO SEGUNDO.-Se adiciona el artículo 210-A al Código Federal de Procedimientos Civiles, en los términos siguientes:

"AKTICULO 210-A.-Se reconoce como prueba la información generada o comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología.

Para valorar la fuerza probatoria de la i~iforrnacióri a que se refiere el párrafo anterior, se estimará primordialmente la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta.

Cuando la ley requiera que un documento sea conservado y presentado en su forma original, ese requisito quedará satisfecho si se acredita que la información generada, comunicada, recibida o archivada por medios electrónicos, ópticos o de cualquier otra tec- nología, se ha mantenido íntegra e inalterada a partir del monrcnto en que se generó por primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior consulta."

A R T ~ C U I . ~ TERCERO.-Se reforman los artículos 18, 20, 21 pá- rrafo primero, 22, 23, 24, 25, 26, 27, 30, 31, 32, 49, 80 y 1205, y se adicionan los artículos 20 bis, 21 bis, 21 bis 1, 30 bis, 30 bis 1 y 32 bis 1298A; el Título 11 que se denominará "Del Comercio Electrónico", que comprenderá los artículos 89 a 94, y se modifica la denomiriación del Libro Segundo del Código de Comercio, dic posiciones todas del referido Código de Comercio, para quedar como sigue:

"ART~CULO 18.-En el Registro Público de Comercio se inscriben los actos mercantiles, así como aquellos que se relacionan con los comerciantes y que conforme a la legislación lo requieran.

La operación del Registro Público de Comercio está a cargo de la Secretaría de Comercio y Fomento Indus~rial, en adelante la Secretaría, y de las autoridades responsables del registro púhlico de la propiedad en los estados y en el Distrito Federal, en términos de este Código y de los convenios de coordinación que se suscriban conforme a lo dispuesto por el artículo 116 de la Constitución Política de los Estados Unidos Mexicanos. Para estos efectos existi- rán las oficinas del Registro Público de Comercio en cada entidad federativa que demande el tráfico mercantil.

La Secretaría emitirá los heamientos necesarios para la adecuada operación del Registro Público de Comercio, que deberán publicarse en el Diario Oficial de la Federación.

ARTICULO 20.-El Registro Público de Co~ncrcio operará con un programa i~iforinático y con una base de datos ccntral iritcrconec- tada con las bases de datos de sus oficinas ubicadas en las entidades



federativas. Las bases de datos contarán con al menos un respaldo electrónico.

Mediante el programa inforrnático se realizará la captura, alrnace- namiento, custodia, seguridad, consulta, reproducción, verificación, administración y transmisión de la información registral.

Las bases de datos del Registro Público de Comercio en las entidades federativas se integrarán con el conjunto de la información incorporada por medio del programa informático de cada inscrip ción o anotación de los actos mercantiles inscribibles, y la base de datos central con la información que los responsables del Registro incorporen en las bases de datos ubicadas en las entidades federativas.

El programa informático será establecido por la Secretaría. Di- cho programa y las bases de datos del Registro Público de Comer- cio, serán propiedad del Gobierno Federal.

En caso de existir discrepancia o presunción de alteración de la información del Registro Público de Comercio contenida en la base de datos de alguna entidad federativa, o sobre cualquier otro respaldo que hubiere, prevalecerá la información registrada en la base de datos central, salvo prueba en contrario.

ia Secretaría establecerá los forniatos, que serán de libre re- producción, así como los datos, requisitos y demás información necesaria para llevar a cabo las inscripciones, anotaciones y avisos a que se refiere el presente Capítulo. Lo anterior deberá publicarse en el Diario Ojicial de la k'ederacióri.

AwÍCULO 20 BIS.-LOS respoiisables de las oficinas del Registro Público de Comercio tendrán las atribuciones siguientes:

1. Aplicar las disposiciones del presente Capítulo en el ámbito de la entidad federativa correspondiente;

11. Ser depositario de la fe pública registral mercantil, para cuyo ejercicio se auxiliará de los registradores de la oficina a su cargo;

111. Dirigir y coordinar las funciones y actividades de las unida- des administrativas a su cargo para que cumplan con lo previsto en este Código, el reglamento respectivo y los linearnientos que emita la Secretaría;

N, Permitir la consulta de los asientos registrales que obren en el Registro, así como expedir las certificaciones que le soliciten;

V. Operar el programa informático del sistema registral automatizado en la oficina a su cargo, conforme a lo previsto en cste Capítulo, el reglamento respectivo y en los lineainientos que emita la Secretaría;

VI. Proporcionar facilidades a la Secretaría para vigilar la adecuada operación del Registro Público de Comercio, y

VII. Las deniás que se seiialen en el presente Capítulo y su reglamento.



AKT~CULO 21.-Existirá un folio electrónico por cada comerciante o sociedad, en el que se anotarán:

1. a XIX. ... A R T i c u ~ o 21 BIS.-El procedimiento para la inscripción de ac-

tos mercantiles en el Registro Público de Comercio se sujetará a las bases siguientes:

1. Será automatizado y estará sujeto a plazos máximos de respuesta: 11. Constará de las fases de: a) Recepción, física o electrónica, de una forma precodificada,

acompañada del instrumento en el que conste el acto a inscribir, pago de los derechos, generación de una boleta de ingreso y del número de control progresivo e invariable para cada acto;

b)Análisis de la forma precodificada y la verificación de la existencia o inexistencia de antecedentes registrales y, en su caso, pre- inscripción de dicha información a la base de datos ubicada en la entidad federativa;

c) Calificación, en la que se autorizará en definitiva la inscrip ción en la base de datos mediante la firma electrónica del servidor público competente, con lo cual se generará o adicionará el folio mercantil electrónico correspondiente, y

d) Emisión de una boleta de inscripción que será entregada física o electrónicameiitr.

El reglamento del presente Capítulo desarrollará el procedimiento registra1 de acuerdo con las bases anteriores.

ART~CULO 21 BIS 1.-La prelación entre derechos sobre dos o más actos que se refieran a un mismo folio mercantil electrónico, se determinará por el número de control que otorgue el registro, cualquiera que sea la fecha de su constitución o celebración.

&T~CULO 22.-Cuando, conforme a la ley, algún acto o contra- to deba inscribirse en el Registro Público de la Propiedad o en registros especiales, su inscripción en dichos registros será bastante para que surtan los efectos correspondicntes del derecho mercantil, siempre y cuando en el Registro Público de Comercio se tome razón de dicha inscripción y de las modificaciones a la misma.

ART~CULO 23.-Las inscripciones deberán hacerse en la oficina del Registro Público de Comercio del domicilio del comerciante, pero si se trata de bienes raíces o derechos reales constituidos sobre ellos, la inscripción se hará, además, en la oficina correspondiente a la ubicación de los bienes, salvo disposición legal que establezca otro procedimiento.

ART~CULO 24.-Las sociedades extranjeras deberán acreditar, para su inscripción en el Registro Público de Comercio, estar cons- tituidas conforme a las leyes de su país de origen y autorizadas para ejercer el comercio por la Secretaría, sin perjuicio de lo estal-ilecido en los tratados o ciinvenios internacionales.



ART~CULO 25.-Los actos que conforme a este Código u otras leyes deban inscribirse en el Registro Público de Comercio deberán constar en:

1. Instrumentos públicos otorgados ante notario o corredor pútilico;

11. Resoluciones y providencias judiciales o administrativas cer- tificadas;

111. Documentos privados ratificados ante notario o corredor público, o autoridad judicial conipetente, según corresponda, o

N, Los demás documentos que de conformidad con otras leyes así lo prevean

ART~CULO 26.-Los documentos de procedencia extranjera que se refieran a actos inscribibles podrir1 constar previamente en instrumento público otorgado ante notario o corredor público, para su inscripción en el Registro Público de Comercio.

Las sentencias dictadas en el extranjero sólo se registrarán cuando medie orden de autoridad judicial mexicana competente, y de conformidad con las disposiciones internacionales aplicables.

A K r i c U ~ o 27.-La falta de registro de los actos cuya inscrip- ción sea obligatoria, hará que éstos sólo produzcan efectos jurídicos entre los que lo celebren, y no podrán producir pe juicio a tercero, el cual si podrá aprovecharse de ellos en lo que le fueren favorables.

ART~CULO 30.-Los particulares podrán consultar las bases de datos y, en su caso, solicitar las certificaciones respectivas, previo pago de los derechos correspondientes.

certificacioiies se expedirán previa solicitud por escrito que deberá contener los datos que sean necesarios para la localiza- ción de los asientos sobre los que deba versar la certificación y, en su caso, la mención del folio mercantil electrónico correspondiente.

Cuando la solicilud respectiva haga referencia a actos aún no inscritos, pero ingresados a la oficina del Repistro Público de Comer- cio, las certificaciones se referirán a los asientos de presentación y trámite.

A K r i C u ~ o 30 BIS.-La Secreraría podrá autorizar el acceso a la base de datos del Registro Público de Comercio a personas que así lo soliciten y cumplan con los requisitos para ello, en los términos de este Capítulo, el reglamento respectivo y los lineamieiitos que emita la Secretaría, sin que dicha autorización implique en ningún caso inscribir o ~nodificar los asientos registrales.

La Secretaría certificará los medios de identificación que utilicen las personas autorizadas para firmar electrónica~nente la infor- maci6ii relacionada con el Registro Público de Comercio, así como la de los demás usuarios del mismo, y ejercerá el coiirrol de estos medios a fin de salvaguardar la confidencialidad de la información que se remita por esta vía.



ART~CULO 30 BIS 1.-Cuando la autorización a que se refiere el artículo anterior sc otorgue a notarios o corredores públicos, dicha autorización permitirá, además, el envío de información por medios electrónicos al Registro y la remisión que éste efectúe al fedatario público correspondiente del acuse que contenga el número dc control a que se refiere el artículo 21 bis 1 de este Código.

Los notarios y corredores públicos que soliciten dicha autori- zación deberán otorgar una fianza a favor de la Tesorcría de la Federación y registrarla ante la Secretaría, para garantizar los daños que pudieran ocasionar a los particulares en la operación del programa informático, por un monto mínimo equivalente a 10 000 veces el salario mínimo diario vigente en el Distrito Federal.

En caso de que los notarios o corredores públicos estén obligados por la ley de la materia a garantizar el ejercicio de sus funciones, sólo otorgarán la fianza a que se refiere el párrafo anterior por un monto equivalente a la diferencia entre ésta y la otorgada.

Dicha autorización y su cancelación deberán publicarse en el Diario Ojcial de la Federación. MCULO 31.-Los registradores no podrán denegar la ins-

cripción de los documentos mercantiles que se les presenten, salvo cuando:

1. El acto o contrato que en ellos se contenga no sea de los que deben inscribirse;

11. Esté en manifiesta contradicción con los contenidos de los asientos registrales preexistentes, o

111. El documento de que se trate no exprese, o exprese sin claridad suficiente, los datos que deba contener la inscripción.

Si la autoridad administrativa o judicial ordena que se registre un iristrume~ito rechazado, la inscripción surtirá sus efectos desde que por primera vez se presentó.

El registrador suspenderá la inscripción de los actos a inscribir, siempre que existan defectos u omisiones que sean subsanables. En todo caso se requerirá al interesado para que en el plazo que determine el reglamento de este Capítulo las subsane, en el entendido de que, de no hacerlo, se le denegará la inscripción.

ARTicu~o 32.-La rectificación de los asientos en la base de datos por causa de error material o de concepto, sólo procede cuando exista discrepancia enue el instrumento donde conste el acto y la inscripción.

Se entenderá que se comete error material cuando se escriban unas palabras por otras, se omita la expresión de alguna circunstancia o se equivoquen los nombres propios o las cantidades al copiar- las del instrumento donde conste el acto, sin cambiar por eso el sentido general de la inscripción ni el de alguno de sus conceptos.

Se entenderá que se comete error de concepto cuando al expresar en la inscripción alguno de los contenidos del instrumento,



se altere o varíe su sentido porque el responsable de la inscrip ción se hubiere formado un juicio equivocado del mismo, por una errónea calificación del contrato o acto en él consignado o por cualquiera otra circunsta~icia similar.

ART~CULO 32 BIS.-Cuando se trate de errores de concepto, los asientos practicados en los folios del Registro Público de Comercio sólo podrán rectificarse con el consentimiento de todos los interesados en el asierito.

A falta del conseri~imie~ito unánime de los interesados, la rec- tificación sólo podrá efectuarse por resolución judicial.

El concepto rectificado surtirá efectos desde la fecha de su rectificación.

emitan. ARTÍCULO 49.-Los comerciantes están obligados a conservar

por un plazo mínimo de diez años los originales de aquellas cartas, telcgrarnas, mensajes de datos o cualesquiera otros documentos en que se consignen conuatos, convenios o compromisos que den nacimiento a derechos y obligaciones.

Para erectos de la conservación o presentación de originalcs, en el caso de mensajes de datos, se requerirá que la información se Iiaya mantenido íntegra e irialterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta. La Secretaría de Comercio y Fomento Industrial emitirá la Norma Oficial Mexicana que establezca los requisitos que deberán observarse para la conservación de mensajes de datos.

LIBRO SEGUNDO

Del comercio en g e n m l . . . ART~CULO 80.-Los convenios y conuatos mercantiles que se

celebren por correspondencia, telégrafo, o mediante el uso de medios clectró~iicos, ópticos o de cualquier otra tecnología, quedarán perfcccioriados desde que se recit~a la aceptación de la propuesta o las condiciones con que ésta fuere niodificada.

Del comcio electrónico

ART~CULO 89.-En los actos de comercio podrán emplearse los medios electrónicos, ópticos o ciialquier otra tecnología. Para efec- to del presente Código, a la información generada, enviada, recibida, archivada o comunicada a través de dichos medios se le deno- minará mcrisaje de datos.



A ~ r í c u ~ o 90.-Salvo pacto en contrario, se presumirá que el mensaje de datos proviene del emisor si ha sido enviado:

1. Usando medios de idcntificación, tales como claves o conua- señas de 61, o

11. Por un sistema de información programado por el emisor o en su nombre para que opere automáticamente.

ART~CULO 91.-E1 momento de recepción de la información a que se refiere el artículo anterior se determinará como sigue:

1. Si el des~iriatario ha designado un sistema de información para la recepción, ésta tendrá lugar en el momento en que ingrese en dicho sistema, o

11. De enviarse a un sistema del destinatario que no sea el designado o de no haber un sistema de información designado, en el momento en que el destinatario obtenga dicha información.

Para efecto de este Código, se entiende por sistema de infor- mación cualquier medio tecnológico utilizado para operar mensajes de datos.

A K ~ ~ C U L O 92.-Tratándose de la comunicación de mensajes de datos que requieran de un acuse de recibo para surtir efectos, bien sea por disposición legal o por así requerirlo el emisor, se conside- rará que el mensaje de datos ha sido enviado, cuando se haya recibido el acuse respectivo.

Salvo prueba en contrario, se presumirá que se ha recibido el mensaje de datos cuando el emisor reciba el acuse corresporirliente.

M C U L O 93.-Cuando la ley exija la forma escrita para los contratos y la firma de los documeritos relativos, esos supuestos se tendrán por cumplidos tratándose de mensaje de datos siempre que éste sea atribuible a las personas obligadas y accesible para su ulterior consulta.

En los casos en que la ley establezca como requisito que un acto jurídico deba otorgarse en instrumento ante fedatario público, éste y las partes obligadas podrán, a través de mensajes de datos, expresar los términos exactos en que las partes han decidido obligarse, en cuyo caso el fedatario público, deberá hacer constar en el propio instrumento los elementos a través de los cuales se atribuyen dichos mensajes a las partes y conservar bajo su resguardo una versión íntegra de los mismos para su ulterior consulta, otorgando dicho instrumento de conformidad con la legislación aplicable que lo rige.

ART~CULO 94.-Salvo pacto en contrario, el mensaje de datos se tendrá por expedido en el lugar donde el emisor tenga su domicilio y por recibido en el lugar donde el destinatario leriga el suyo.

AI¿T~CULO 1205.-Son admisibles como medios de prueba todos aquellos elerrientos que puedan producir convicción en el áni- mo del juzgador acerca de los hechos coritrovertidos o dudosos y en corisecuericia serán tomarias como pruebas las declaraciones de



las partes, terceros, peritos, documentos públicos o privados, inspec- ción judicial, fotografías, facsímiles, cintas cine~natográficas, dc vi- deos,. de sonido, mensajes de datos, reconstrucciories de hechos y en general cualquier otra similar u objeto que sirva para averiguar la verdad.

A R T ~ C U L ~ 1298-A.-Se reconoce como prueba los mensajes de datos. Para valorar la fuerza probatoria de dichos mensajes, se esti- mará primordialmente la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada."

ART~CULO cu~~l'O.-Se reforma el párrafo primero del arúcu- lo 128, y se adiciona la fracción VI11 al artículo 1" la fracción IX bis al artículo 24 y e1 Capítulo VI11 bis a la Ley Federal dc Protec- ción al Consumidor, que contendrá el artículo 76 bis, para quedar como sigue:

"ART~cu LO 1 ?- .... ... 1. a V11. ... VIII. La efectiva protección al consumidor en las transacciones

efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología y la adecuada utilización de los datos aportados.

Amicu~o 24.-. . . 1. a IX. ... 1X bis. Promover en coordinación con la Secretaría la formu-

lación, difusión y uso de códigos de ética, por parte de proveedo res, que incorporen los principios previstos por esta Ley respecto de las transacciones que celebren con consumidores a través del uso de medios electr6riicos, ópticos o de cualquier otra tecnología;

X. a XXI. ...

Caph-Li~O VI11 BIS

De los derechos de los consumidores en las transacciones efctuadas n traués del w o de medio^ electrónicos, óplicos

o de cualquier otra tecnología

AKrícu~o 76 BIS.-Las disposiciones del presente Capítulo aplican a las relaciones entre proveedores y corisuinidores en las transacciones efectuadas a través del uso de medios electrónicos, ópti- cos o de cualquier otra tecnología. En la celebración de dichas traiisacciones se cuniplirá con lo siguiente:

1. El proveedor utilizará la información proporcionada por el consumidor en forma confidericial, por lo que no podrá difundirla o traiisniitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consuniidor o por requerimiento de autoridad competente;



11. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y corifidencialidad a la información proporcionada por el consumidor e inforniará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;

111. El proveedor deberá proporcionar al consumidor, antes de celebrar la transacción, su domicilio físico, números telefónicos y demás medios a los que pueda acudir el propio consumidor para presentarle sus reclamaciones o solicitarle aclaraciones;

N. El proveedor evitará las prácticas comerciales enganosas respecto de las características de los productos, por lo que deberá cumplir con las disposiciones relativas a la información y publicidad de los bienes y servicios que ofrezca, seiialadas en esta Ley y demás disposiciones que se deriven de ella;

V. El consumidor tendrá derecho a conocer toda la informa- ción sobre los términos, condiciones, costos, cargos adicionales, en su caso, formas de pago de los bienes y servicios ofrecidos por el proveedor;

VI. El proveedor respetará la decisión del consuniidor en cuanto a la cantidad y calidad de los productos que desea rccibir, así como la de no recibir avisos comerciales, y

VII. El proveedor deberá abstenerse de utilizar estrategias de venta o publicitarias que no proporcioiieri al consuniidor informa- ción clara y suficiente sobre los servicios ofrecidos, y cuidará las prácticas de mercadotecnia dirigidas a población vulnerable, como niños, ancianos y enfermos, incorporando mecanismos que adviertan cuando la inforniación no sea apta para esa población.

~ T ~ C U L O 128.-Las infracciones a lo dispuesto por los artícu- los 8" 10, 12, 60, 63, 65, 74, 76 bis, 80 y 121 serán sancionadas con multa por el equivalente de una y hasta dos mil quinientas veces el salario mínimo general vigente para el Distrito Federal.

. . . TRANSITORIOS

PKIMERO.-El presente Decreto entrará en vigor a los nueve días siguientes de su publicación en el Diario Oficial de la Fede- ración.

SEGUNDO.-Las menciones que en otras disposiciones de carác- ter federal se hagan al Código Civil para el Distrito Federal en Ma- teria Común y para toda la República en Materia Fedcral, se enten- derán referidas al Código Civil Federal.

Las presentes reformas no implican modificación alguna a las disposiciones legales aplicables en materia civil para el Distrito Fe- deral, por lo que siguen vigentes para el ámbito local de dicha entidad todas y cada una de las disposiciones del Código Civil para



el Distrito Federal en Materia Común y para toda la República en Materia Federal, vigentes a la entrada en vigor del presente Decreto.

TERCERO.-La operación automatizada del Registro Público de Comercio conforme a lo dispuesto en el presente Decreto deberá iniciarse a más tardar el 30 de noviembre del año 2000.

Para tal efecto, la Secretaría de Comercio y Fomento Indus- trial proporcionará a cada uno de los responsables de las oficinas del Registro Público de Comercio, a partir de la entrada en vigor del presente Decreto y a más tardar el 31 de agosto del año 2000, el programa informático del sistema registra1 automatizado a que se refiere el presente Decreto, la asistencia y capacitación técnica, así como las estrategias para su instrumentación, de conformidad con los convenios correspondientes.

Cum~o.-En tanto se expide el Reglamento correspondicnte, seguirán aplicándose los capítulos 1 a N y VI1 del Título 11 del Re- glamento del Registro Público de Comercio, publicado en el Diario Oficial de la Federación el 22 de enero de 1979, en lo que no se opongan a lo dispuesto en el presente Decreto.

QuINTO.-L~ captura del acervo Iiistórico del Registro Público de Comercio deberá coricluirse, en términos de los convenios de coordinación previstos en el artículo 18 del Código de Comercio a que se refiere el presente Decreto, a más tardar el 30 de noviembre del 2002.

SEXTO.-L~ Secretaría, en coordinación con los gobiernos esta- tales. dcterminará los procedimientos de rccepción de los registros de los actos mercantiles que hasta la fecha de entrada en vigor del presente Decrclo efectuaban los oficios de hipotecas y los jueces de primera instancia del orden común, así como los mecanismos de integración a las bases de datos central y a las ubicadas en las entidades federativas. Dicha recepción deberá efectuarse en un plazo máximo de ciento ochenta días contados a partir de la entrada en vigor del presente Decreto.

SÉPTIMO.-Las solicitudes de inscripción de actos mercantiles en el Registro Público de Comercio y los medios de defensa inicia- dos con anterioridad a la e~iuada en vigor del presente Decreto, se substanciarán y resolverán, hasta su total conclusión, conforme a las disposicioncs que les fueron aplicables al momento de iniciarse o interponerse.

0 m o . - L a Secretaría deberá publicar en el Diario Oficial de la Federación los lineamientos y formatos a que se refieren los artículos 18 y 20, que se reforman por virtud del presente Decreto, en un plazo máxiino de noventa días, contados a partir de la fecha de su entrada en vigor.

México, D.F., a 29 de abril de 2000.-Dip. Francisco José Paoli Bolio, Presidente.Sen. Dionisio Pérez Jácorne, Vicepresidente en fun-



ciones.-Dip. Marta Laura Carranza Aguayo, Secretario.-Sen. Raúl J u á m Valencia, Secretario.-Rúbricas".

En cumplimiento de lo dispuesto por la fracción 1 del artícu- lo 89 dc la Constitución Política de los Estados Unidos Mexicanos, y para su debida publicación y observancia, expido el presente Decre- to en la residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a los veintitrés días del mes de mayo de dos mil.-Emto Zedillo Pone de León.-Rúbrica.-El Secretario de Go- bernación, Diódoro Carra~co Altamirano.-Rúbrica.

Analizando lo anterior y resumiendo, nos damos cuenta que las modificaciones al Código Civil, entre otras, reconocen que la tnani- festacióri del consentimiento ..." será expreso cuando la voluntad se manifiesta ... por medios electrónicos, ópticos o por cualquier otra tecnología". . . También se establece que, cuando una oferta se haga a una persona presente, sin fijación de plazo para aceptarla, el autor queda desligado si no se hace inmediatamente, y la misma regla aplicará si la oferta es hecha "...a través de cualquier otro medio elec- trónico, óptico o de cualquier otra tecnología que permita la expre- sión de la oferta y la aceptación de ésta en fonna inmediata". . . Será requisito "...la utilización de medios electrónicos ópticos o de cualquier otra tecnología, siempre que la información generada o comunicada en forma íntegra, a través de dichos medios sea atribuible a las personas obligadas y accesible para su ulterior consulta". . . Cuando u11 acto jurídico deba otorprse en escntura pública, se prevé que los notarios podrán ..."g enerar, enviar, recibir, archivar o comunicar la incormación que contenga los términos exactos en que las partes han decidido obligarse, mediante la utilización de medios electrónicos, ópticos, o de cualquier otra tecnología' ,... para lo cual el notario de- berá hacer constar en la escritura que al efecto se otorgue, ..." los elementos a través de los cuales se atribuye dicha información a las partes" ... otorgándola coniorme se establece en la legislación notarial.

En relación con el Código Federal de Procedimientos Civiles, se adiciona un artículo que ya "...reconoce como prueba la infonnación generada o comunicada que conste en medios electrónicos, ópticos o en cualquier otra tecnología". .. y ésta se valorará atendiendo a la ..." fiabilidad del método en que haya sido generada, comunicada, recibida o archivada". . . También se establece una equivalencia entre un docu~nento original y uno electrónico, si en éste la información "...se ha manteiiido íntegra e inalterada a partir del momento en que se generó.. . y . . . puede ser accesible para su ulterior consulta".

Por su parte, en el Código de Comercio se define como mensaje de datos, ..." a la información generada, enviada, recibida, archivada



o comunicada ... mediante el uso de medios electrónicos, ópticos, o de cualquier otra tecnología". .., se establecen las reglas mediante las cuales se podrá presumir que un mensaje de datos proviene de una determinada persona, se mencionan requisitos equivalentes a los establecidos en la legislación civil, en los casos en que un acto jurí- dico deba ser otorgado mediante una escritura pública, cuando la ley exija la forma escrita para un contrato determinado, así como los mecanismos de prueba que se tomarán en cuenta para otorgar fuerza probatoria a un mensaje de datos.

A su vez, en la Ley Federal de Protección al Consumidor, que adopta la terminología utilizada por los Códigos Civil y de Comercio, se creó un nuevo Capítulo VI11 Bis, y un nuevo artículo 76 Bis, que regula "los Derechos de los consuniidores cri las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología y establece que "...Las disposicio~ies del presente Capítulo aplican a las relaciones entre proveedores y corisumidores en las transacciones efectuadas a través del uso de medios electró- nicos, ópticos o dc cualquier otra tecnología. En la celebración de dichas transacciones se cumplirá con lo siguiente: 1. El proveedor utilizará la información proporcionada por el consumidor en forma contidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo antorización expresa del propio consumidor o por requerimiento de autoridad competente; 11. El proveedor utilizará alguno de los elementos técnicos disponibles para briudar seguridad y confidencialidad a la información proporcionada por el consumidor e infonnará a éste, previamente a la celebracióri de la trausacción, de las características generales de dichos elementos; 111. El proveedor deberá proporcionar al consumidor, antes de celebrar la transacción, su domicilio físico, números telefónicos y demás medios a los que pueda acudir el propio consumidor para presentarle sus reclamaciones o solicitarle aclaraciones; VI. El proveedor respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales, y VII. El proveedor debe15 abstenerse d e utilizar estrategias de venta o publicitarias que no proporcionen al consumidor información clara y suficiente sobre los servicios ofrecidos, y cuidará las prácticas de mercadotecnia dirigidas a población vulnerable, corno niños, ancianos y cnfermos, incorporando mecanismos quc adviertan cuando la iuformacióii no sea apta para esa población.

Con fecha 16 de novienlbre de 2001, se publicó en el Diario O$- c i d de la Federación el PROYECTO DE NORMA OFICIAL MEXICA- NA "PROY-NOM-151-SCFI-200lV, y con fecha 4 de junio de 2002 se



publicó e n el Diario Oficial d e la Federación la NORMA OFICIAL MEXICANA "NOM-151SCFI-2002, e n la que se establecen los requisitos d e deben observarse para la conservación d e mensajes d e datos.

Debido a la Importancia de este ordena~niento, y para mayor claridad del presente trabajo, a continuación se transcribe.

NORMA Oficial Mexicana NOM-151-SCFI-2002, Prácticas co- inerciales-Requisitos que deben observarse para la conservación de mensajes de datos.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.-Secretaría de Economía.

La Secretaría de Economía, por conducto de la Dirección Ge- neral de Normas, con fundamento en los artículos 34 fracciones XIII y XXX de la Ley Orgánica de la Adininisiracióri Pública Fede- ral; 39 fracción V, 40 fracciones 111 y XVIII, 47 fracción IV de la Ley Federal sobre Metrología y Norinalización, y 23 fracciones 1 y XV del Reglamento InLerior de esta Secretaría, y

CONSIDERANDO

Que es responsabilidad del Gobierno Feiiral procurar las medidas que sean necesarias para garantizar que los servicios que se comercialicen en territorio nacional contengan los requisitos necesarios. con el fin de gararitizar los aspectos de información para lograr uria efectiva protección del consumidor;

Que con fecha 28 de septiembre de 2001 el Comité Consultivo Nacional de Normalización de Seguridad al Usuario. Información Coniercial y Prácticas de Comercio aprobó la publicación del proyecto de Norma Oficial Mexicana PROY-NOM-151SCFI-2002, Prác- ticas comerciales-Requisitos que deben observarse para la conserva- ción de rnensajcs de datos, lo cual se realizó en el Diorio Oficial de la Federación el 16 de noviembre del mismo año, con objeto de que los interesados presentaran sus comentarios;

Que duraiite el plazo de 60 días naturales contados a partir de la fecha de publicació~i de dicho proyecto de Nornia Oficial Mexi- cana, la Manifestación de Impacto Regulatorio a que se refiere el artículo 45 de la Ley Federal sobre Mctrología y Nornialización estuvo a disposición del público en general para su consulta; y que dentro del misnio plazo, los interesados presentaron sus corncntarios al proyecto de uornia, los cuales fueron analizados por el citado Comité Consultivo, realizándose las niodificaciories procedentes;

Que con fecha 20 de marzo de 2002 el Coinité Corisultivo Nacional de Normalización de Seguridad al Usuario, Información Comercial y Prácticas de Comercio, aprobó por unanimidad la norma referida:



Que la Ley Federal sobre Metrología y Nornialización establece que las Normas Oficiales Mexicanas se constituyen como el instrumento idóneo para la protección de los intereses del consuinidor, se expide la siguiente Norma Oficial Mexicana NOM-151SCFI-2002, Prácticas comercialeiRequisitos que deben observarse para la con- scrvación de mensajes de datos.

México, D.F., a 20 de marzo de 2002.-E1 Direc~or General, M i p d Api lar Romo.-Rúbrica.

NORMA OFlCIAL MEXICANA NOM-151-SCFI-2002, PRÁCTI- CAS COMERCIALES-REQUISITOS QUE DEBEN OBSERVARSE PARA LA CONSERVACION DE MENSAJES DE DATOS

PREFACIO

En la elaboración de la presente Norma Oficial Mexicana par- ticiparon las siguientes empresas e insrituciones:

- ACERTiA NETWORKS, S.A. DE C.V. - ALESTU, S. DE R.L. DE C.V. - ASOCIACION MEXICANA DE ESTÁNDARES PARA EL CO-

MERCIO ELECTRONICO, A.C. - ASOCIACION MEXIC+NA DE LA INDUSTRIA DE TEG

N O L O G ~ DE INFORMACION, A.C. - ASOCiAClON NACIONAL DE TIENDAS DE AUTOSERVI-

CIO Y DEPARTAMENTALES, A.C, - BANCO DE MÉXICO. - BANCO INTERNACIONAL.,S.A. - BANCO NACIONAL DE MEXICO. S.A. - BBVA BANCOMER, S.A. - CAMARA NACIONAL DE COMERCIO DE LA CIUDAD DE

- -

- CECOBAN, S.A. DE C.V. - CONSEJO MEXICANO DE LA INDUSTRIA DE PRODUC-

TOS DE CONSUMO, A.C. - COMISION FEDERAL DE TELECOMUNICACIONES. - C O M P . ~ ~ ~ ~ A PROCTER & GAMBLE MÉXICO, S. DE R.L.

DE C.V. - HEWLETT PACKARD DE MÉXICO, S.A. DE C.V. - IRM DE MÉXICO. S.A. DE C.V. - - -

- INSTITUTO NACIONAL DE ESTAD~STICA, GEOGRAF~A E I N F O ~ T I C A . Dirección General de Políticas y Normas en In- forn~ática.

- KPMG CÁRDENAS DOSAL, S.C. - PEGASO COMUNICACIONES Y SISTEMAS, S.A. DE C.V. - PETRÓLEOS MEXICANOS. Gerencia de Informática y Sis-

temas Financieros.



- PODER JUDICIAL FEDERAL. Instituto Federal de Especialis- tas de Concursos Mercantiles.

- PKOMOCION Y OPERACI~N, S.A. DE C.V. - SECRETAR~A DE E C O N O M ~ . -Dirección General de Nor-

mas. -Dirección General de Fomento al Comercio Interior. -Di- rección General de Política de Comercio Interior y Abasto.

- SEGURIDATA PRIVADA, S.A. DE C.V. - SERVICIO DE ADMINISTRACIÓN TRIBU'TARIA. Adminis-

tración General de Grandes Contribuyentes. Administración Gene- ral de Teciiología de la Informacióri.

- SOFTWARE AG, S.A. DE C.V. - VERA ABOGADOS, S.C. - W A L - M I ' DE MEXICO, S.A. DE C.V. - XEROX MEXICANA. S.A. DE C.V. - X WEA ADOBE, S.A.' DE C.V. ~NUICE O. I~itroducción 1. Objetivo 2. Campo de aplicación 3. Definiciones 4. Disposiciones generales 5. Elementos que intervienen en la conservación de mensajes

de dalos 6. Vigilancia 7. Apéndice norinativo 8. Bibliografía 9. Concordancia con normas internacionales Traiisitorio O. Introducción De conformidad con lo dispuesto por los artículos 40 de la

Ley Federal sobre Metrología y Normalización en relación con el 49 del Código de Comercio, la Secretaría de Economía deberá emitir una Nornia Oficial Mexicana que permita el cumplimiento de la obligación, a cargo de los comerciantes que utilicen melisajes de datos para realizar actos de con~ercio, de conservar por cl plazo establecido en dicho Código, el contenido de los mensajes de datos en que se hayan cotisigiiado contratos, convenios o conipromisos que den riximiento a derechos y obligaciones; y cuyo contenido debe mantenerse íntegro e irialterado a partir del momento en que se generó por primera vez en su forma definitiva, debiendo ser accesible para su ulterior consulta.

1. Objetivo La prcsente Norriia Oficial Mexicana establece los requisitos

que drbcn observarse para la conservación del contenido de mensajes de dalos que consignen contratos, convenios o corripromisos



y quc en consecuencia originen el surgimiento de derechos y obli- naciones. -

2. Campo de aplicación La presente Norma Oficial Mexicana es de observancia gerie-

ral oara los comerciantes que deban conservar los merisaies de datos ~~ ~

en ;ue se consignen coniratos, convenios o compromi&s que den nacimiento a derechos y obligaciones, así como para todas aquellas personas cori quienes los comerciantes otorguen o pacte11 dichos contratos, convenios o compro~nisos.

3. Definiciones 3.1. Aceptación de autoría A la propiedad de un algoritmo de firma digital que permite

atribuir a una persona física o moral la autoría de un mensaje de datos inequívocamente.

3.2. Acto de comercio A todo acto que la legislación vigente considera como tal. . 3.3. Autenticación Al uroceso en virtud del cual se constata que una entidad es

la que dicc ser y que tal situación es demostra6le ante terceros. 3.4. ~rc l i i i o parcial Al mensaje de datos representado en formato ASN.1, corifor-

me al apéndice de la presente Nornia Oficial Mexicana. 3.5. ASN.1 A la versión 1 de Absuacts Siritax Notation (Notación Abstrac-

ta de Sintaxis). 3.6. Bits A la unidad mínima de información que puede ser procesada

por una computadora. 3.7. ByLes A la secuencia de 8 bits. 3.8. Clave pública A la cadena de b i s perteneciente a una entidad particular y

susceptible de ser conocida públicamente, que se usa para verificar las firmas electrónicas de la entidad, la cual está matemáticamente asociada a su clave privada.

3.9. Clave privada A la cadena de bits conocida únicamente por una entidad, que

se usa en conjunto con un mensaje de datos para la creación de la firma digital, relacionada con ambos elementos.

3.10. Certificado digital Al mensaje de datos firmado electrónicaniente que vincula a

una entidad cori una clave pública. 3.11. Código Al Código de Comercio 3.12. Códieo de error " A la clave indicativa de un suceso iricorrecto.



3.13. Comerciantes A las personas físicas o morales a los que la legislación les

otorga tal carácter. 3.14. Compromiso A cualquier acto jurídico diferente del contrato o del conve-

nio, que genere derechos y obligaciones. 3.15. Coufidencialidad Al estado que existe cuando la información permanece con-

trolada y es protegida de su acceso y distribución no autorizada. 3.16. Contrato Al acuerdo de voluntades que crea o transfiere derechos y

obligaciones. 3.17. Convenio Al acuerdo de voluntades que crea, transfiere, modifica o extin-

gue derechos y obligaciones. 3.18. Constancia del prestador de servicios de certificación Al niensaje de datos representado en formato ASN.1, confor-

me al Apkndice de la presente Norma Oficial Mexicana. 3.19. Criptografía Al conjunto de técnicas niatemáticas para cifrar información. 3.20. Destinatario A aquella entidad a quien va dirigido un mensaje de datos. 3.21. Emisor A aquella entidad que genera y transmite un mensaje de datos. 3.22 Entidad A las personas físicas o morales. 3.23. Expediente electrónico Al mensaje dc datos representado en formato ASN.1, confor-

me al Apéndice de la presente norma oficial mexicana. 3.24. Firma digital A la firma electrónica que está vinculada al firmante de manera

única, permitiendo así su identificación, creada utilizando medios que aquél pueda riianteiier bajo su exclusivo control, estando Mncu- lada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable. La firma digital es una especie de firma electrónica que garantiza la autenticidad e integridad y la posibilidad de detectar cualquier cambio ulterior.

3.25. Firnia electrónica A los datos en forma electróiiica consignados en un mensaje

de datos, o adjuntados, o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que dicho firmante aprueba la informa- ción recogida en el mensaje de datos. La firma electrónica establece la relación entre los datos y la identidad del firmante.



3.26. Formato A la secuencia claramente definida de caracteres, usada en el

intercambio o generación de información. 3.27. Legislación A las normas jurídicas generales y abstractas emanadas del

Congreso de la Unión, así como la normatividad emanada del Poder Ejecutivo.

3.28. Mensaje de datos A la información generada, enviada, recibida, archivada o co-

municada a través dc medios electrónicos, ópticos o cualquier otra tecnología.

3.29. Objetos A las definiciones del lenguaje ASN.1 3.30. Original A la iriforniación contenida en un meiisaje de datos que se ha

mantenido íntegra e inalterada desde el momento en que se gene- ró por primera vez en su forma definitiva.

3.31. Prestador de servicios de certificación A la entidad que presta los servicios de certificación a que se

refiere la presente Norma Oficial Mexicana. 3.32. Red Al sistema de telecomunicaciones entre computadoras. 3.33. Resumen o compendio Al resultado de aplicarle a un ~nensaje de datos una función

de criptografía del tipo hash. 3.34. Sello del prestador de servicios de certificación Al mensaje de datos represeiitado en formato ASN.1, confor-

me al Apéndice de la presente Norma Oficial Mexicana. 3.35. Secretaría A la Secretaría de Economía. 4. Disposiciories generales 4.1. Los comerciantes deberán conservar los mensajes de datos

de acuerdo al método que se describe cn e1 Apéndice de la presente Norma Oficial Mexicana.

4.2. La información que se desee conservar se podrá almacenar en uno o varios archivos diferentes y/o en una o varias computadora~.

4.3. Sin perjuicio de lo que dispongan otros ordenarnientos ju- rídicos aplicables, cuarido se pretenda conservar en un medio elec- trónico, óptico o de cualquier otra tecnología, información derivada de un acto de comercio, que se encuentre soportada eii un mediu físico similar o distinto a aquéllos, los comerciantes podrán optar por migrar dicha información a una forma digital y, observar para su conservación en forma digital, las disposiciones a que se refiere la presente Norma Oficial Mexicana. La migración de la informa- ción deberá ser cotejada por un tercero legalmente autorizado, que



constatará que dicha migración se realice íntegra e inalterablemen- te tal y como se generó por primera vez en su forma definitiva. El tercero legalmente autorizado deberá ser una persona física o moral que cuente con la capacidad tecnológica suficiente y cumpla con los requisitos legales aplicables.

4.4. Los programas de cómputo (software) para la conserva- ción de los mensajes de datos deberán dar cumplimiento a lo establecido por la preseute Norma Oficial Mexicana.

5. Elementos que intervienen en la conservación de mensajes de datos

5.1. Para la emisión de la firma electrónica y/o digital, así como el prestador de servicios de certificación, deberán observar los requisitos que la normatividad aplicable señale para su operación.

5.2. La constancia emitida por el prestador de servicios de certificación deberá observar los términos establecidos en cl Apén- dice de la presente Norma Oficial Mexicana.

5.3. Los progranias informáticos en y con los que se almace- nen los mensajes de datos a los que se refiere la presente Norma Oficial Mexicana, utilizarán los formatos para mensajes de datos en los términos establecidos en el Apéndice del mismo.

6. Vigilancia La vigilancia de la Nornia Oficial Mexicana estará a cargo de

la Secretaría conforme a sus atribuciones y la legislación aplicable. 7. Apéndice N ~ m a t i v o INTRODUCCION En este Apéndice normativo se presentan los elementos nece-

sarios para la implantación de la presente Norma Oficial Mexicana; la descripción del algoritmo de conservación de información y la definición ASN.1 de los objetos usados.

Se describe brevemente el algoritmo y se muestran dos archivos de texto que serán usados para construir los objetos ASN.l resultantes de aplicar la presente hlorma Oficial Mexicana a estos dos archivos. Los objetos ASN.1 creados son mostrados a través de un vaciado hexadecimal de su contenido en formato BEK. Se incluyen las claves de criptografía que se usaron en la creación de los ejemplos con el propósito de que se pueda verificar la implantación de la presente Norma Oficial Mexicana.

El contenido de los archivos, las definiciones pertenecientes al lenguaje ASN.l y los archivos ASN.l aparecen con el tipo Courier New. Cuando se use el nombre de un obielo ASN.l dentro del texto, éste aparecerá en itálicas. Como rererencia se presenta el juego de caracteres ISO 8859-1 (Latín 1).

FORMACION DE ARCHIVOS PARCIALES Para formar un archivo parcial se crea un mensaje en formato

ASN.1 que contiene (i) el nombre del archivo del sistema de infor- mación e n el que está o estuvo almacenado el contenido del archivo,



(ii) el tipo del archivo, y (iii) el contenido del mismo; con el objetivo de guardar laf.elación lógica que existe entre estos,tres elementos.

OBTENCION DE LOS COMPENDIOS O RESUMENES DIGI- TALES

Se calcula el compendio o resumen digital del archivo o archivos parciales resultado, del proceso anterior, usando el a!goritmo MD5.

INTEGRACION DEL EXPEDIENTE ELECTRONICO Para conformar un expediente electrónico se creará un men-

saje ASN.1 que contiene (i) el nombre del expediente, que debe de coincidir con el nombre con el que se identifica en el sistema de in- formación en donde está o estuvo almacenado, (ii) un índice, que contiene el nombre y el compendio de cada archivo parcial que integra el expediente, (iii) la identificacióri del operador del sistema de conservación, y (iv) su tirma digital de acuerdo a la definición . . correspondiente, en l a presente ~ & r n a Oficial Mexicana.

OBTENCION DE LA CONSTANCIA DEL PRESTADOR DE SERVICIOS DE CERTIFICACI~N

P a n la obtención de la constancia el sistema de conservación deberá usar el protocolo de aplicación descrito en este apéndice para enviar el expediente al prestador de servicios de certificació~i, quien emitirá una constancia en formato ASN.l y la regresará al sistema de conservación, haciendo uso del mismo protocolo.

El expediente opcionalmente podrá enviarse como un anexo de correo electrónico, siendo aplicables en este caso los protocolos Internet correspondientes.

También podrá usarse la transmisión vía Web siempre que el expediente se reciba corno un archivo y siempre que se utilice un directorio protegido por nombre de usuario y contraseña. Para ello, la forma en que lo envíe deberá ser como la siguiente:

<form action="url de l programa generador de constancias " enctype="mult ipar t / foi .m-datan>' - -.

Expediente: <input type="f i les ' name="expedienteW> <input type="submit" value="Obtener Constancia">

</form>

La constancia deberá regresar al cliente como un archivo de tipo mime application/octet-stream (Los MIME Types (Multipupose Internet Mail Exteiisioiis) son la manera estándar de mandar contenido a través de la red. Los tipos MIME especifican tipos de datos, como por e.jeriiplo texto, imagen, audio, etc.

El prestador de servicios de certificación podrá recibir, si así lo acuerda con sus clientes, medios físicos conteniendo los archivos correspondientes a los expedientes.



FORMACIÓN DE LA CONSTANCIA El prestador de servicios de certificación formará una constan-

cia en formato ASN.1 que contendrá (i) el nombre del archivo en donde está almacenada la constancia, (ii) el expediente enviado por el sistema de conservación, (iii) fecha y hora del momento en que se crea la constancia, (iv) la identificación del prestador de servicios de certificación, y (v) su firma di~itai de acuerdo a la definición correspondiente de esta Norma oficial Mexicana.

METODO DE VERIFICACION DE AUTENTICIDAD La verificación de la autenticidad de una constancia se realiza-

rá por medio del uso de un sistema de verificación que lleve a cabo los pasos siguientes:

i) verificar la firma digital del prestador de servicios de certi- ficación en la constancia;

ii) verificar la firma digital del operador del sistema de conser- vación en el expediente contenido en la consta~icia, y

iii) recalcular el compendio de él o los archivos parciales y verificar que coincidan con los compendios asentados en el expediente.

Definición ASN.l

...................................................................... NCI-NOM-OOO-SECOFI DEFINITIONS : : E

BEGIN

TipoOP : : = OBJECT IDENTIFIER

md5 OBJECT IDENTIPIER : := { 1 2 840 113549 2 5) rsaEncrrption OBJECT IOENTIPIER ::= { 1 2 840 113549 1 1 1) md5WithRSAEncryption OBJECT IDENTIFIER : := { 1 2 840 113549 1 1 4)

-. -- Identificador de objeto a utilizar para las Normas Oficiales Mexicanaa ..

men OBJECT IDENTIFIER : : = I 2 37 137 1

nom OBJECT IDENTIFIER : : = I mex 179 1

.. -- Identificadores de objeto a utilizar para tipos de archivos --

nomArchivos OBJECT IDENTIFIER ::- lnom 1971

nomBinario OBJECT IDENTIFIER : := inomArchivos 11



nomTexto OBJECT IDENTIFIER : : = (nomArchivoS 2t- Extensiones nomAT-TXT OBJECT IDENTIFIER : := (nomATexto 1) -- .tXt nomAT-TEX OBJECT IDENTIFIER : := (nomATexto 2 ) -- .teX nomAT-PS OBJECT IDENTIFIER : := (nomATexta 3 ) -- .ps nomAT-HTML OBJECT IDENTIFIER ::= InomATexto 4 ) -- .htm .hml

nomAAudio OBJECT IDENTIFIER : := {nomArchivos -- Extensiones ñomAA-AU OBJECT IDENTIFIER ::= {nomAAudio 1) -- .au nom-WAV OBJECT IDENTIFIER ::= (nomAAudio 21 -- . w a v nomAA-MP3 OBJECT IDENTIFIER : : = {namAAudio 3) -- .mp3 nOmAA-RAM OBJECT IDENTIFIER ::= InomAAudio 4 ) -- .ram

nomvideo OBJECT IDENTIPIER : : = (nomrchivos4)-- Extensiones nomAV-MPEG OBJECT IDENTIFIER : : = {nomvidea 1) - - .mpq .mpeg namAV-DW OBJECT IDENTIFIER : : = {nomvideo 2 ) - - PENDIENTE nomv-MOV OBJECTIDENTIFIER : := {nom~video 3) - - .mov .qt .movie .moov

nomrmaaen OBJECT IDENTIFIER : : = Inamrchivos 51.- Extensiones

nomAMicrosoft OBJECT IDENTIFIER ::= {nomrchivos 6) - - Extensiones namAM-WORD OBJECT IDENTIFIER : : = (nomAMicrasaft 1)--.do= now-W6 OBJECT IDENTIFIER : : = (norn4MWORD 1) noM-W97 OBJECT IDENTFIER : : = {noMWORD 2) norr~U-W2000 OBJECT IDENTIFIER : : = {nomAM- WORD 3) ~ O ~ A M - P P T OBJECT IDENTIFIER : : = {nomAMic~osoft 2)--,ppt naM-EXCEL OBJECT IDENTIFIER : : = {nomAMicrosoft 3}--.xls nomAM-OUTLOOK OBJECT IDENTIFIER : : = (n0mAMi~rosoft 41--.pSt noM-AccEss OBJECT IDENTIFIER : : = {nomAMicrosoft S}--.mdb

. . - - Identificadores de objeto a utilizar para identificacion de usuarios . .

noinIdentificacion OBJECT IDENTIFIER ::= (nom 373) noinIPersoriaFisica OBJECT IDENTTFIER ::= {nomIdentificacion 1) iioinIF-NOMBRE OBJECT IDENTIFIER ::= (iiomIPersonaElsica 1) rioniIF-IFE OBJECT IDENTIFIER ::= {nomIPersonaFisica 2) noin1F-CURP OBJECT IDENTIFIER ::= {~iomIPersonaFisica 3) noniIF-PASAPORTE OBJECT IDENTIFIER ::= (nomIPemnaFisica 4) riomIF-CEDULAFISCAL OBJECT IDENTIFIER ::= (nomIPersona

Fisica 5)

nornIPersonaMorai OBPCT IDENTIFIER ::= (nomIderitificacion 2) rioinIM-NOMBRE OBJECT IDENTIFIER ::= {iiomIPe~oiiaMorai 11 nomIM-CURP OBJECT IDENTIFIER ::= (nomlPersonaMora1 2) nomIM-CEDULAFISCAL OBJECT IDENTIFIER ::= (iiom1Persona

Moral 3)



NombrePersonaFisica ::= SEQUENCE { noinbreIdP PriiitableString, apcllidolIdP PnritableStnng, apellido2IdP PrintableString 1 IdentificadorPersona ::= SEQUENCE ( nombreIdP NombrePersonaFisica, tipoIdP OBJECT IDENTIFIER, coiitenidoIdP PriiitableString )

Numerocertificado ::= PrintableString

IdeiitificadorUsuario ::= SEQUENCE ( persoiiaFisicaMora1 OBJECT IDENTIFIER, nombreRazoriSocialIdU CHOICE (NombrePersonaFisica,

PrintableSlring), tipoIdU OBJECT IDENTIFIER, conteiiido1dU PrintableString, numeroCertificadoU Numerocertificado, represcntanteIdU IderitificadorPenona OPTIONAL - Este cam-

po es para el representante legal

AigorithmIdentifier ::= SEQUENCE ( algonthm OBTECT IDENTIFIEK,

FinnaUsuarioOP ::= SEQUENCE ( algoritmoFirma AlgorithmIdentifier, firma BIT STRING 1

FirmaConstanciaOP ::= SEQUENCE { algoritmoFinna AlgorithmIdentifier, firma BIT STRING 1

ResumeiiOP ::= SEQUENCE ( algoriLmoresumen AigorithmIdentifier,



resumen BIT STRING 1

Folio-UsuarioOP ::= INTEGER

ArchivoParcial ::= SEQUENCE [ titulo NombreOP, tipo TipoOP, contenido BIT STRING 1

Entrada-al-Indice ::= SEQUENCE ( titulo NombreOP, resumen ResumenOP 1

Expedieute ::= SEQUENCE ( nombreexpediente PrintableStniig, indice SET OF Entrada-al-Indice, id-usuario IdUsuarioOP, fiilria-usuario FinnaUsuarioOP

Sello ::= SEQUENCE { estampade-tiempo UTCTime, emisor EmisorOP, folio-usuario FolieUsuarioOP 1

Constancia ::= SEQUENCE ( nombre-de-la-constancia NombreConstanciaOP, expediente Expediente, marcade-tiempo Sello, firma-constancia FinnaConstanciaOP 1 END

En el programa ASN.1 se definen primeramente los identificadores de objeto necesarios para identificar los tipos de archivo que se podrán almacenar observando la presente Norma Oficial Mexica- na.: estas definiciones podrían ser objeto de revisiones periódicas para



incluir_nuevos formatos, luego los objetos necesarios para almacenarlos archivos o mensajes de datos que serán consenados.

A lo largo del programa se definen diferentes objetos ASN.Icuvo uso dentro del programa aclara su función.

- El carnpo firma-usuario del objeto expedierrte es la firma digitaldc los campos norlbre-expediente, índice e id-usuario concaten;dosen ese orden, vistos como una secuencia de bytes.

- En el objeto scllo, el campo estampa-de-tiempo es la fecha yhora en fonnato GMT o IMT con la cual se creó ei sello, ernisor esel rcpresentante del prestador de servicios de certificación que estácreando el sello y folio-usuario es un nú¡nero secuencial ¿scéndentepara cada usuario registrado del prestador de servicios de certifica-ción. Es deci¡ cada usuario llevará un rcgistro numerado consecuti-varnente de cada operación que registra el prestador d.e scrvicios decertificación.

El objeto Constancia contiene un campo no¡nbrede-la-constan-cia que almacena el nombre del archivo de computadora donde seguardará dicha constancia en el sistema de információn del prestad.ordc servicios de certificación, expediente que es de tipo Expldiente yes la información que se registra con el prestador de-seniclos de cei-tificación con un sello emitido por ella, este sello contiene la fechay la hora del momento en que se crea la Constancia. El campo firma-constancia cs la firma digital de los campos no¡nbrede-la-cotrstancia,expediente, marca-de-tiernpo concatenados e¡r ese orden y üstos comouna secuencia de bytes.

El ejernplo de codificació¡r esrá organizado de la siguiente forma:primero se presentan dos archivos que se desea consenar, a conti-nuación se construyen cada uno dc los objetos ASN.I correspondien-tes, (i) los archivos parciales, (ii) el expediente que está almacenadoen un archivo dc nombre "docusuario.ber", y (iii) la Constancia queesá en cl archivo "recibo.ber", Los nombrci de los archivos que^al-nlaccllan al expediente, constancia y archivos parciales están altnace-nados eu los campos nornbre-expediente, nombrede-la-constancia ytítulo respectivamente (ver Definición ASN.1).

Inseguida se prcsenta el contenido de los objetos ASN,l corres-pondientes. La líne a

representa el principio y el fin del archivo respectivamente y no for-ma parte del archivo.

Los objetos A§N.l que se presentan esán en fonnato BER y selnuestra un vaciado hexadecimal comentado.

qq r,



Archivo "mensaje.txt"

Archivo de texto utilizado para ejemplifrcar la creación de docu-

mentos de usuario y coustancias de la Oficialía de Partes Este es unode dos archivos

que se utilizarán e¡r dicho ejernplo.

Archito "mens4jel.txt"

Segundo archivo de texto que se utilizará en la creación de unejemplo'para mostrar un docuricnto usuario y u¡ra constancia de laoficialía de partes.

Archivo párcia1 "atpl.ber"

3O 8I d? /*ArchivoPárctal'/13 Ob 6d 65 6e 73 61 6á 65 2e 14 '14 /*tituLo:mensaie txt*/OÉ 09 75 S1 09 81 33 81 45 02 01 /*tipo:no¡nAT-TxT*/03 81 bc /*contedido* /

00 4r. 7? 63 68 69 76 6f 20 64 65 2a 74 65 18'74 6f 20 75 14 Es 6c 69

'la 67 64 6f 20 1A 67'72 61 20 65 6a 65 6d ?0 6' 69 66 59 63 67'12 2a 6c 6l20 63 12 65 6t ('3 69 6f 6e 2A 64 65 20 64 61 63 l5 6d 6s 6e 14 6f '13 20 64

is o. rs:: t5 6t't2 c9 61 20 ig 2a 63 6f 6e ?3'14 61 6e 63 69 61 13 2a 64

65 20 6c 61 2D 4t 66 69 63 69 61 6c 69 61 20 64 65 20 50 61 12 14 6\'73 2e

ió ss tl tq 65 20 E5 '13 za 15 6e 6f 20 64 65 2a 64 61 13 2a 61 12 63 68 69'1€, 6f 13 Oa ?1 75 65 20 '13 65 2Q 75 ?4 69 6c 69 la 6I'72 61 6e 2a 65 6e 20

64 69 63 68 6f 20 65 6a 65 6d 70 6c 6f 2e 0a

alchivo parcial "arp2 ber"

30 81 b3 / *ArchivoPa!cial* /13 Oc 6d 65 6e 73 61 6a 65 31 2é 14 78 ?4 /*titulo:mensajeL txt*/0€ 09 75 81 09 81 33 81 45 0{ Ol /*liPo:úomAv-MPEG*/03 8L 9? /*contenido] /

0o 53 65 6? ?5 6e ,54 6f 20 6r'1263 68 69'16 6f 20 64 65 20 14 €'\'78

14 6! 2A 11 75 ,á5 20 73 65 2A 15 74 69 6c 69 ?a 61 12 67 20 65 6e ?0 6c 51

2a 63'12 65 er 63 69 6f 6e 2A 64 65 20 ?5 6e 20 65 6a 65 70 6d 6c 6f '73 oa

1A 6t'12 6t 2A 6d 6f 13 14 12 r;r 12 20 15 6e 20 64 6f 63 15 6d 65 6e 14 6f20 15 13 15 6t ?2 69 6f 20 ?9 20 ?s 6e 61 20 63 6f 6e't3'14 61 6e 63 69 61

20 r;4 65 zo 6c 61 20 6f 66 69 63 69 6t 6c 69 61 20 64 65 20 10 6t 12 14 65

?3 2e 0a

226



Expediente "docusuario.bern

El expediente en forma BER correspondiente a los archivos parciales que aparecen arriba es:

30 8 2 01 4b /'expediente elecrrbniniisuario:+/ 13 Of 64 6f 63 75 66 65 6e 74 6f 20 21 20 34 35 36 1-nombre-expediente

e1ectrOnico:documenta # 456.1 31 se /*indice:-/

30 2d /.Entradaal-lndice:*/ 13 08 61 72 70 31 2e 62 65 72 30 21 /*resumen:./

30 OC /.algoritmaresumen:*/ 06 08 2a 86 4 8 86 f7 Od 02 OS /.Identificador de Objeto: mds-/ os 00 / . r n L * /

03 11 00 23 e7 4a Ba be d5 60 dd ec 07 Sc 66 44 29 71 C Z /'resumen*/ 30 2d /.Entrada-al-Indice:./

30 Oc /*algoritmuresumen:'/ 0 6 0 8 2 a 8 6 48 8 6 £7 0d 02 05 /*Identificador de Objeto: md5*/ 35 CO /*KULL*/

0 3 11 00 8c cO 8 1 b 0 ce 66 e 9 b7 90 5a 96 05 e 8 38 1 3 20 /+resumen'/ 3 0 64 /*idusuario'/

3 6 0 8 75 8 1 0 9 81 3 3 82 75 01 /+peronaMorali.i~ica: nomI?ersonaFisica+/ 3 0 IC /~nimbreRazonSacialIdU:+/

1 3 08 52 61 7 9 6 6 7 5 6 e 64 6 E /*Raymundo*/ 13 07 5 0 65 72 61 6c 7 4 6 1 /*Peralta+/ 1 3 0 7 48 6 5 72 72 65 72 6 1 /*Herrerah/

0 6 0 9 7 5 8 1 0 9 8 1 33 8 2 15 0 1 0 3 /*tipopIdU:nomIF-CURP*/ 13 2 f 41 7 1 7 5 69 20 7 6 61 20 6 c 61 20 4 3 6 c 6 i 7 6 65 20 5 5 6 e 69

6 3 61 2 0 E 4 65 20 52 65 67 6 9 73 74 72 6f 2 0 64 65 20 50 6f 62 6c 6 1 63 69 6 2 6e /*contenidoIdL:Aq~i va laclave m i c a de Registro de Poblacion'/

30 7 2 / * f i r m a usuario:*/ 3 0 0d /'algoritinoFirma:'/

06 0 9 2 a 8 6 48 8 6 f7 Od 01 01 04 /*Jdentificador de Objeto: nidSWithHSHEn¿rvorian'/



Nombre del enisor., 1 3 la 10 72 6 9 66 6 1 1 2 2 0 41 70 65 6c 6' 6 9 64 61 20 '4

61 t c 2 0 6 % 66 6 9 7 3 6 f 72 /.aplllidalIdt:~rimer Apellido del ernilor'l 13 1b 53 6 5 61 75 íe 6s 6f 20 11 7 0 61 6 r 6c 6 9 64 62 2 0

6 1 65 Zd 6 1 64 6 9 7 1 6 t 7 2 /.apelild~2ldP:Segun6o lpeilido d e l misOrf/ 06 09 '1 81 0 3 81 11 8 2 75 Oi 02 / ' t ipoIdp: nanIT - I F E I I

IP 2a <a 7 5 60 65 7 2 6Z 20 6 1 65 20 bc 61 20 4 3 7 1 61 6* 65

6. 61 6q 61 bc 2 0 6 4 6 % 20 P S bc 65 63 7 1 6: 7 2 20 6+ 6 1 6C 2 0 14 4 6 4 3



CIaues pnuadns uradas para flnnar

Con el propósito de poder verificar los objetos ASN.1 definidos en este documento se incluyen las claves privadas que fueron usadas para generar las firmas de los documentos mencionados. Durante el proceso de generación de claves no se generó la clave pública y ya se ha perdido la información de generación de dichas claves. Las claves y los resultados presentados pueden ser usadas Únicamente para verificar los formatos de este ejemplo.

Clave pnuada de usuario



Front End de Comunicaciones (JEC, referencia de implantación para el prestador de servicios de cerl@cacibn)

El FEC es u n @grama desarrollado para manqar las comunicaciones en aplicaciones con arquitectura cliente/servidoi; /ue diseñado pensando en ap1icacione.s que requieran intercambiar mensajes en tiempo real. Se puede usar la definición de este sistema para especijicar d protocolo de comunicación entre los clientes del prestador de servicios de certtjicación y los sistemas que se indican en la presente Norma Oficial Mexicana. La Secretaria de Econp mia deberá contar con un sistema de referencia para que el o los prestallores de servicios de certzJicación tengan u n estúndar contra el cual venjicar que la implantación de la norma es correcta.

Los objetivos del PEC son: ;Error! Marcador no dejnido. Simpla$car la @gramación de los siste-

mas con arquitectura cliente/servidoi; de tal manera que al desarrollar un s ~ s t m a se dejen a u n la& los detalles relacionados al mango de las comunicaciones y el e ~ f u m o se centre en los detalles propios del sistema.

;Error! Marcador no definido. Lograr u n ambiente de operación Jkxibk que permita la interacción de m a m a s de.iamllados os1 distintas plataformas, sistemas operativos y lenguajes.

;Error! Marcadm no definido. Optimar el uso de los recursos y permitir que los sistemas que lo usen operen en tiempo real.

El JEC se encarga de realizar algunas lareas que, en la arquitectura cliente/seruidor tradicional, serian realizadas por el servid- por ejemplo:

;Error! Marcadm no definido. Autenticar a los clientes que desean esta- bkcer comunicación con algún seruidm

;Emr! Marcador no definido. Notijicar Ea conexión o desconexión de un cliente al servidor adecuado.

;Error! Marcador no definido. Notificar a los clientes si un servidor está o no en seruzcio.

;Error! Marcadm no definido. V¿fica.r continuamente el estado de los clientes y servidores conectados.

Es por ello que su uso Proporciona las siguienles ventajas: ;Error! Marcador no d$nido. Provee de transparencia en la localiza-

ción de clientes y seniidores. ;Error! Marcador no definido. SinyMj5ca la pogramación & seruidores. ;Error! Marcudor no definido. Permite la interacción de pügramas desa-

rrollados en distintas plataformas. ;Error! Marcador no definido. Minimiza el uso de recursos de la red de

comunicaciones.



Esquema de opmación

El modelo b&co de operación del m C se mueslra en la figura 1, en ella se esqupmntiza u n @grama cliente, el FEC y u n programa servidor: El esquema de operación es simple: el FEC se encarga de aceptnr las conexiones de los clientes, autenlzjicar y, en caso de que el seniicio al que se deseen conectar se mcuentre en operación, auisar a este último de la conexión del cliente.

1 Cliente 1 FEC 1

FIGIIKA l . Esqucrna básico de operación del FEC

En este esquema los clientes no establecen comunicación direc- ta con el servidor, en lugar de ello envían sus mensajes a través del FEC, éste los toma y los entrega al servidor adecuado.

Del mismo modo , el FEC recibe los mensajes del servidor y los entrega al cliente indicado por éste.

Visto a grandes rasgos, una vez realizada la autenticación de clientes y servidores, la labor del FEC se limita a registrar y transmitir los mensajes de los clientes al servidor adecuado y viceversa, es decir, el FE(: es únicamente u n mecanismo de enlace entre clientes y servidores.



Sistema No.1

/ Sistema No.2

Clientes Sistema N0.1

Y FEC

Sirema N03 clientes Sialema No. 3

En la ncuu 2 se muestra un esquema de la operacióii del FEC Comunicaciones en el FEC

Manejo de Comunicaciones en el FEC

232



A fin de iniriirnizar el tráfico en la red de comunicaciones y permitir el intercambio de infom~acióii entre programas desarrolla- dos cri distintos lenguajes y sistemas operativos, el FEC utiliza un protocolo de coniunicación abierto.

En este protocolo todos los merisajes constan de dos partes: encabezado y cuerpo, como se muestra en la figura 3.

FICUKA 3. Todos los mensajes están formados por ericabezado y cuerpo

Tanto el encabezado como el cuerpo de los mensajes se construyen cou los tipos de datos básicos de todos los lenguajes de progra- mación: char, int, short, string.

Es importante mencionar que el protocolo utilizado permite, a partir de los tipos de datos menciotiados y respetando ciertas reglas (similares a las de las expresiones regulares), construir cualquier tipo de mensaje. La única restricción para que los programas intercambieri inforinación es que acuerden de antemano el "formato" de los mensajes que se enviarán durante la operación.

Encabezado de los mensajes

En el protocolo del FEC, la longitud del encabezado de un mensaje dependc del destiriatario, por ejemplo, en los mensajes que envían los clientes y servidores hacia el FEC, así como los mensajes que envía el FEC a los clientes, el encabezado tiene una longitud de 4 bytes con la estructura que se muestra en la figura 4.

Encabezado PEC ,Error!

I Marcador no definido. 1 byle

Cliente ;

Fl(11Iw 4. Encabezado de un melisaje FEC Cliente.

233



A contiiiuación se explican los campos que lo forman:

;Error! Marcador no definido. Destino. Servidor o Cliente a quien se desea enviar el mmsaje (1 byte).

j E m ! Marcador no definido. Acción. Instrucción o pmcesamiento que se desea realizar ( 1 byte).

;Errrir! Marcadm no definido. Tamaño. Longtud m bytes del cuerpo del mensaje, sin incluir el encuhtzado (2 byles).

Por olra parte, el encubaado de los mensajes que el FEC enuía a los servidores l ime u n a longitud de 12 bytes y la estructura que se muestra en la figura 5.

Los elementos que conforman aste encabezado son: ;Error! M a ~ c a d m no &finido. Origen. Cliente qu8 muiá el mensaje (1 @te). ;Error! Marcador no definido. Acción. Instrucciún o pmwamiento que

se desea realizar (1 byte). ;Error! Marcador n o definido. Año, Mes, Dia. Fecha en que el FEC

recibiú el masa je (2 bytes cada campo). ;Emr! Marcador no definido. Hora. Hora a que el E C recibió el

mensaje. ;Error! Marcador no d e j n d o . Tamaño. Longitud en bytes d d cu@o del

mensaje, .sin incluir el m,cabezado (2 bytes}. La existencia de estos dos tipos de encabaado se &e a la necesidad de

l h a r un registm &tallado de los mensajes que se transfieren a los servidores a l.raués del FEC, además de fvouem un cim-to grado de seguridad Es por ello que antes de transferir un, mensaje a un servido? el FEC &be colocarle u n a estami)a de tiempo que cmtijque la fecha y hora en que se recibió.

1 L - ______j

Fl~lillA 5. Eiicaberadu de un iiiriisajc FEC => Semdor.

Cumpo de los masajes

Esla parte del mensaje es de longitud variable y puede consuuir- se como una expresión regular a partir de los tipos de daros mericio- nados ariterior~neiite.

El elemento Acción en el encabezado de un niensajc indica la solicitud de que se ejecute una deterniirlada instrucción o procesa miento. Eii algunos casos, para realizar didia Acción se requiere de



información adicional. El contenido e interpretación del cuerpo de un mensaje depende de la Acción iridicada en su encabezado, es decir, el cuerpo de un mensaje debe respetar un "formato" previamente establecido entre quien lo envía y quien debe ejecutar la ac- ción solicitada.

Como este "forinato" se establece de antemano entre los interesados, cuando se recibe un mensaje basta conocer la Acción del encabezado para deducir la forma en que debe interpretarse el cuerpo, es decir, su "formato".

El "formato" de un mensaje es una secuencia de tipos de datos básicos que describe su contenido. Para facilitar la lectura e interpre- kción de estas secuericiai, a cada tipo de dato se le ha asignado u11 símbolo, el cual se muestra a continuación. (El tipo de dato stnng que se maneja en el protocolo no tiene una longitud fija e incluye el carácter de fin de cadena. Es muy importante que se considere la longitud de cada tipo de dato al desarrollar su software, sobre todo si utiliza un sistema operativo diferente a Linux.)

Tt$o fíe dato Simliolo / Tamaño m Siter

1 %1 4

Shorl Stiing Libre

I 4

Nota: Dado que el protocolo de comunicación del FEC es abier- to, toda la i~iforinación viaja en formato de red.

lntmfmtación del formato de u n mensaje

Para reafirmar la i d a de "formato", a continuación se muestra el "fonnato" del encabezado y cuerpo de algunos mensajes utilizados por el protocolo del FEC.

;Error! Marcador n o definido. Fmmato del encabezado de 4 bytes: "%c%c%d". E n u n a trama de bytes con este f m t o viajan tres datos. El

pnmer y segundo dato vienen en el primer y segun& bytes de la trama respectivamente.

E l r~alor del tercer dato debe obtenerse de los dos úllimos bytes de la trama. Lo anterior pued8 deducirse de la tabla donde se muestra la longitud de las elementos que conforman las mmsajes. @me en cuenta las Inngitudds



de los tipos de datos mostrados en la tabla de la sección anterior y además recuerde que los datos viajan en formato & red, es decir, una v a obtenidos deberán t~rtmsjmnarse al fonnato d8 la computadora receptora.)

;Error! Marcador no definido. F m a t o del encabezado de 1 2 bytes: "%c%c%d%d%d%d%d: En una trama de bytes con este fonnato contie ne siete datos. Los dos pzmeros tienen una longitud de un byte y los restantes 5 de dos byles cada uno.

j E m ! Marcador no d$nido. F m t o del mensaje Creeting " % S %l". Este masaje se utiliza para avisar a u n smidor de la conexión de un cliente. Contiene dos datos: el nombre del cliente a una cadena de longitud ind@- reida, p m tnminada con el carácter deJin de cadena, y a continuaciún su clave en u n v a h de 4 bytes.

;Error! Marcador no deFnido. Formato del mensaje Login: "%S". Se utiliza cuando un cliente envía su login a un seruidol; contiene una cadena con la información.

j E m ! Mairador no defin,ido. Fonato cualguiern: "%c %d %1 %S n ( % c %d % L %S)". Este j m a t o contiene un númem variable de datos. Podaos deducir que primero viene un dalo que ocupa un byte (es decir u n vaior a l re O y 255), después un dalo que ocupa 2 bytes, luego uno que ocupa 4 bytes, a conlinuación una cadena cuya longitud se desconoce y después una serie de "n" elementos, este número "n" es u n valor de 4 bytes. A co~i inuadón vienen "n" elementos de u n byte, "n" elematos de 2 bytes, "n" e h e n t o s de 4 bytes y finalmente "n" cadenas.

Este último formato muestra el potencial del protocolo de co- municación, el cual permite construir mensajes de longitud y contenido variable.

Construcción de mensajes

Dado que cl campo Acción en el eucabezado de un mensaje tiene una longitud de 1 byte, existen únicamente 255 acciones válidas eii la operación de un sistema.

Aunque cada aplicación es la encargada de determinar el riúme- ro de acciones que requiere y la información que debería incluirse en el cuerpo de los mensajes a enviar, resulta evidente que existe un coijunto de acciones comunes a todos los sistemas que iriteractúen con el FEC (por ejemplo los mensajes para establecer o terminar la cone- xión con cl FEC); es por ello que algunos de los 255 posibles mensajes están reservados a estas acciones comunes a todos los sistemas. En esta sección se indican cuáles son estos mensajes reservados y se dan cjemplos de su construcción.



Mensajes resentados

En esta sección se muestran los mensajes que deben usar los programas que se desee establecer comunicación con el FEC y el formato de éstos, el hecho de que no aparezca un fonnato asociado a un tipo de mensaje indica que no se requiere información adicional para realizar la acción solicitada, es decir, este tipo de mensajes tienen un cuerpo nulo. En la siguiente sección se muestra la manera de construirlos.

Mensajes resentados para el FEC



Mensajes comunes a todos los clientes

Acción 1 il'on~he Fonnalo Uesmipción - .- .

. . O 1 LOGOUT

~~.. Auira al FEC del Jin de la conexión

1 LOGIA' % S Envía clave de usua?io al FEC ~

2 .. PASSi4D %S Envía

7 IAMAL17iE Avisa al FEC que opma sin $mblPmas

16 ~. ~.

COhKXION Solida conexión al FEC

212 CHAMXPASS %s , Solicita cambio de contrmmia, en& nueva contraspña al bEC . .-.

Ejenplos de conslrucción de mensajes

Para lograr que nuestro protocolo sca abierto debemos enviar los datos en una fornia tal que cualquier computadora pueda inter- prctarlos adecuadamente. Por ejemplo, cuando una computadora envía un entero de 32 bits a otra. El liardware se encarga de transpor- tar los b is desde la primer computadora a la segunda sin cambiar el orden, sin embargo, no todas las computadoras almacenan los enteros de 32 hits de la misma manera.

En algunos casos la dirección más baja de memoria contiene el byte menos significativo del entero (fonnato Little Endian). En otros, la dirección más baja de memoria contiene el byte niás significativo del entcro (Formato Big Endian). Estas dos maneras de almacenar datos se ilustran en la figura 6.'

Iiiteriict resuelve el problema del ordcn de los bytes al definir un estándar de red que debe utilizarse para intercambiar datos. Las coniputadoras que intercambian información deben convertir sus datos de la representación local a la representación estándar de red antes dc criviarlos. Al recibir datos deben convertirlos de la represen- tación estándar de red a la representación local.

' Eii la íigiira ti e1 contenido de cada byte se Iia representado en formato hrxadccimal únicaineixe con fines ilustrativos. esto no sipifica qiie en el protocolo Los valores deban enviarse en formato hexadecimal.



l BIG ENDIAN LITTLE ENDIAN VALOR

m m 500

BYTE O 1 2 3 O 1 2 3

l MENSAJE ENCABEZADO CUERPO

FI~IIRA 6. Diferentes Kepresentaciories de Datos

El estándar de red dc Interriet indica que primero dcbe enviarse el byte más sigriificativo de un entero, es decir, si uno considera los bytes sucesivos de un paquete viajando de una computadora a otra, los enteros en ese paquete tienen su byte más significativo cerca del inicio y el byte menos significativo cerca del final del paquete.

Nuestro protocolo utiliza el estátidar. de red de Internet para intercambiar información. En la figura 7 representamos los mensajes necesarios para que un cliente establezca comunicacióii coii el FEC siguiendo el estándar antes mencionado? No olvide que los valores deben enviarse cn formato de red.

l . ~ ~ - ~ ~ p

Ohscrvr que en cl campo Destino se ha colocarlo el valor "l", esto indica que re quiere establecer comunicación coii iiii servidor cuya clave de identificación es "1". Todos los srrvidores conectados al FEC tienen asignada una clave de ideiitifi- cacióii.



R ~ ~ I K A 7. Construcción de Mensajes para Conectarse al FEC.

Secuencia de Conexión

Recepción y transmisióii de mensajes en el FEC. La secuencia de recepción y transmisión de mensajes en el FEC

se muestra en la figura 8. El mecanismo es el siguiente:

1. El cliente C envía al FEC un mensaje destinado al servidor S, este mensaje tiene un encabezado de 4 bytes.

2. El FEC recibe el mensaje y analiza el encabezado para determinar a quién debe transferirlo, incluye en el encabezado original una estampa de tiempo y lo envía al destinatario adecuado.

3. El servidor S recibe un mensaje del FEC cuyo encabezado es de 12 bytes, en él se indica quien lo originó y a que hora se recibió en el FEC.

4. El senidor S envía un mensaje dirigido al cliente C, este mensaje tiene un encabezado de 4 bytes.

5. El FEC recibe el mensaje del Servidor S, analiza el encabezado, determina a quién debe transferirlo y lo envía.



RC.LIRA 8. Secuencia de transmisión y recepción de Mensajes en el FEC

Conexión entre un Cliente y el FEC

El intercambio de mensajes que debe llevarse a cabo para que un cliente establezca conexión con el FEC se esquematiza en la figura 9.

E n r Rsad . PASMI10

MENSAJES PARTICULARES DE LA APLICACI~N

RGUU 9. Esquema de conexión de un cliente con el FEC

Protocolo de comunicación entre el software de almacenamien- to y el prestador de servicios de certificación.

Se define el protocolo para solicitar una constancia como el procedimiento siguieute:

1. El usuario genera, a partir de sus mensajes de datos, los archivos parciales necesarios para hacer con ellos un expediente el cual



enviará al prestador de servicios de certificación. Solicitud de co- ricxión por partc del usuario ante el prestador de servicios de certi- ficación e identificación entre ellos usando un esquema s e p r o de identificación con certificados digitales (este proceso puede darse mediante un esquema de clave de usuario y contraseña en una primera erapa)

2. El prestador de servicios de certificación genera una Constan- cia a partir del Expediente recibido, dicha constancia se registra en las bases de datos del prestador de servicios de certificación y se envía una copia de ese mensaje ASN.1 al usuario.

3. El usuario almacena su Constancia corno considere conveniente

MENSAJES TIPO FEC

Mensajes del usuario al prestador de servicios de certificación. -

Acción Eonnato Posible

CiistaOP,

E1 canipo %1 contiene un idcntifikdor del documento (por sesión) paia la transmi- sión. El campo %d puede tencr los siguientes valores: O - Primer y único envío 1 - Primero de varios envíos 2 - Envío intermedio 3 - Ultimo envío El campo n(%c) representa el Expediente como una se cuencia de caracteres, en formato ASN.1

Mensajes del prestador de servicios de certificación al usuario

Acción Formato Descripción

La OP envía una El campo %l contiene u11 identificad01

8 del docuniento (por sesión) para la trans misión, éste es el mismo valor que el enviado por el usuario en el mensaje Solconsta.

22 %l %d , n ( % c )



Nombre 1 Acción F m a t o Desmipción

El campo %d puede tener los siguientes valores: O - Primer y único envío 1 - Primero de varios envíos 2 - Envío interinedio 3 - Ultimo envío El campo n(%c) representa el Constan- cia como una secueiicia de caracteres, en formato ASN.1

Contiene un código de enor que indica el motivo por el cual no se llevó a cabo la reación de la constancia solicitada. Los posibles valores son: 1 . Error en los tipos de datos básicos 2. Expediente electránico de usuario

incompleto 3. Algoritmo de resunien o compendio

de firma desconocido 4. Identificador de iisuario inválido 5. Firma de usuario inváiida

Juega de caracteres ISO 8859-1 (Latín 1)

Char Code (código)

(m decimal)

~ o u b k quote l Harh or pound

Doliar

Pei-cent - Amnpersand

Apmtrqhe

@en bracket

Close bracket

*LT --

37

&

(

)

Name (nombre)

Desmiption (desnipciónj

38

39

40

41 -.pppp



I

49 : - Digit 1 1

Desmption (descripción)

AstPnk - Plw s i p

(en decimnl) (nodwe)

42

+ 43

44

45

Digit 6

Digit 7

1 Dipit 8

6 1 54

I 1 1 -

Comma

Minus stgn

7

c

- -

5 j

Dlgit 9 Y

8 1 5 6

5 7 1 -

6 0

61

62

1 5 8

1 63

Colon

Zt pppp

Less than

Equals

@ Greather than

Question mark



Char 2 , l Name (en hcimal) i (nombre)



Code (código) Name Descriplion !

(m decimal) , (nombre) (desrripción)

&ave accent

a

98 b



nbsp

1 4 6 > ' kxcl

Non-hakzng space

1 Inuertcd exciumation

1 167 1 sect Seclion sign -

1 173 Sofl hyphen

Reptered tradernark

7 - P Spacing m a m n



E 201 Eacute E acule

E 202 Ecirc E circumfix

E -- 203 Euml E umlaut

i 204 Igraue I grave

i 205 Iacute I acute

1 206 Icirc I circumpx 7

D -.

1 208 1 ETH ETH

Ñ 1 209 Ntilde N tilde i



Char ' Code (código) ' Name Desmiption

(m Oadenm) (no&e) (dermipción)

21 0 Ograue O grave

21 1 Oacute O acute

o 1 212 oci7z j o czrcumfle*

O 213 1 Otilde O tilde 1 .A

O 214 Ouml O umlaut

x 215 times Mulliplication s i p

@ 21 6 Oslash O slarh

U i 217 Urraue I U erave l

U 1 218 Uacute U acute

, O 21 9 1 ~ c i r c U ciwumfix I L 1

u 220 Uuml U umlaut

1 221 Yacute 1 Y acute

1 B 1 222 1 THORN T H O W 1 223 szlk shaq s

j 224 agmue a grave

u 1 225 aacute a acuiz

á 1 226 acirc a circumfler

1 a 227 atilde a tilde

a 228 auml a umlaut

a 229 aring a ring

Q 230 aelig ne ligature - C 231 1 ccedil c cedilla

k 232 egraue e grave

é 233 eacute e acute

e 234 eci7.c e circumfler

e 235 euml ..

e umlaut

i 236 igraue i graue



Char 1 Description

('nombre)

iacule

i. 1 239 iuml i umlaut

d -. eth eth

ñ 241 ntilde n tilde

O 242 o p u e o graue - ó 243 oacute o acute

6 o umlaut 1 B; 1 ouml - d i diukjon s i m

254 thom

, 255 yunrl y umlaut

Código de Comercio. Ley Federal sobre Metmlogía y Normalización. R e g h m i o de la Ley Federal sobre Metmlogia y Nonnallzación. NMX-Z-13.1997, Guía para la redacción, estructuración y presen-

tacibn de las nonnas oficiales mexicana. SCHNEIER, Bruce, Applied qptography. Leyes Modelo de la CNUDMI sobre las Finnas Electrónicas y

sobre Comercio Electrónico en General.



ISO/IEC 8859-1:1998 Information techriology-Bbit single-byte coded graphic character sets-Part 1: Latin alphabet No. 1.

8. Concordancia con normas internacionales

La presente Norma Oficial Mexicaua no tiene concordancia con norma internacional por no existir referencia alguna al momento de su elaboración.

TRANSITONO

ÚNICO.-~a presente Norma Oficial Mexicana entrará en vigor una vez que la Secretaría de Economía por conducto de la Dirección General de Normas, publique en el Diano Oficial de la Federación el aviso mediante el cual dé a conocer la existencia de infraestnictura para llevar a cabo la evaluación de la conformidad en los términos de la Ley Federal sobre Metrología y Normalización y su Reglamento.

México, D.F., a 20 de marzo de 2002.-E1 Director General, Mi- gud Apilar Romo.-Rúbrica.

Con fecha 29 dc agosto de 2003, se publicó en el Diario Oficial de la Federación el DECRETO por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Finna Electrónica.

Debido a la Importancia de este ordenamiento, y para mayor claridad del presente trabajo, a continuación se traiiscribe.

DECRETO por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Firma Electrónica.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicatios.-Presidencia de la República.

VICENTE FOX QUESADA, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:

Que el Honorable Congreso de la Unión, se ha servido dirigir- me el siguiente

I DECRETO

"EL CONGRESO DE LOS ESTADOS UNIDOS MEXICANOS, 1 DECRETA SE REFORMAN Y ADICIONAN DIVERSAS DISPOSICIONES DEL

CÓDIGO DE COMERCIO EN MATERIA DE FIRMA ELECTRÓNICA



ART~CULO ÚNICO.-Se reforman los artículos 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 112, 113 y 114. Se adicionan los artículos 89 bis, 90 bis, 91 bis, 93 bis. Se adicionan los Capítulos Primero, Segundo, Tercero y Cuarto al Título Segundo, denominado del Comercio Electrónico, correspondiente al Libro Segundo, todos del Código de Comercio, para quedar de la siguiente manera:

Del comercio electrónico

De los marajes de datos

ART. 89.-Las disposiciones de este Título regirán en toda la Re- pública Mexicana eii asuntos del orden comercial, sin pe juicio de lo dispuesto en los tratados internacionales de los que México sea parte.

Las actividades reguladas por este Título se someterán en su interpretación y aplicación a los principios de neutralidad tecnológi- ca, autonomía de la voluntad, compatibilidad internacional y equivalencia funcional del Mensaje de Datos en relación con la informa- ción documentada en medios no electrónicos y de la Firma Electrónica en relación con la firma autógrafa.

En los actos de corriercio y en la fonnacióii de los mismos po- drán emplearse los medios electrónicos, ópticos o cualquier otra tecnología. Para efecto del presente Código, se deberán tomar en cueuta las siguientes definiciones:

Certificado: Todo Mensaje de Datos u otro registro que confirme el vínculo entre un Finnante y los datos de creación de Firma Elec- trónica.

Datos de Creación de Finna Electrónica: Son los datos únicos, como códigos o claves criptográficas privadas, que el Firmante genera de manera secreta y utiliza para crear su Finna Electrónica, a fin de l e grar el vínculo entre dicha Finna Electrónica y el Firmante.

Destinatario: La persona designada por el Emisor para recibir el Mensaje de Datos, pero que no esté actuando a título de Intermedia- rio con respecto a dicho Mensaje.

Emism: Toda persona que, al tenor del Mensaje de Datos, haya actuado a nombre propio o en cuyo nombre se haya enviado o generado ese mensaje antes de ser archivado, si éste es el caso, pero que no haya actuado a título de Intermediario.



Fima Electrónica: Los datos en forma electrónica consignados en un Mensaje de Datos, o adjuntados o lógicamente asociados al mismo por cualquier tecnología, que so11 utilizados para identificar al Firmante en relación con el Mensaje de Datos e indicar que el Fir- mante aprueba la información contenida en el Mensaje de Datos, y que produce los mismos efectos jurídicos que la firma autógrafa, siendo admisible como prueba en juicio.

Finna Electrónica Avanzada o Fiable: Aquella Finna Electrónica que cumpla con los requisitos contemplados en las fracciones 1 a IV del artículo 97.

En aquellas disposiciories que se refieran a Firma Digital, se considerará a ésta como una especie de la Firma Electrónica.

Fimante: La persona que posee los datos de la creación de la firma y que actúa en nombre propio o de la persona a la que representa.

Intermediario: En relación con un determinado Mensaje de Datos, se entenderá toda persona que, actuando por cuenta de otra, envíe, reciba o archive dicho Mensaje o preste algún otro servicio con respecto a él.

Mensaje de Datos: La información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecno- logía.

Parte que Confia: La persona que, siendo o no el Destinatario, ac- túa sobre la base de un Certificado o de una Firma Electrónica.

Prestadm de Seruinos de Certificación: La persona o institución pú- blica que preste servicios relacionados con Firmas Electrónicas y que expide los Certificados, en su caso.

Secretaría: Se entenderá la Secretaría de Economía. Sistema de Infmmación: Se entenderá todo sisterna utilizado para

generar, enviar, recibir, archivar o procesar de alguna otra forma Mensajes de Datos.

Titular del Certijicado: Se entenderá a la persona a cuyo favor fue expedido el Certificado.

ART. 89 BIS.-No se negarán efectos jundicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un Mensaje de Datos.

ART. 90.-Se presumirá que un Mensaje de Datos proviene del Emisor si ha sido enviado:

1. Por el propio Emisor;



11. Usando medios de identificación, tales como claves o contra- señas del Emisor o por alguna persona facultada para actuar en nombre del Emisor respecto a ese Mensaje de Datos, o

111. Por un Sistema de Información programado por el Emisor o en su nombre para que opere autoniácicamente.

ART. 90 BIS.-% presume que un Mensaje de Datos ha sido enviado por el Emisor y, por lo tanto, el Destinatario o la Parte que Confía, en su caso, podrá actuar en consecuencia, cuando:

1. Haya aplicado en forma adecuada el procedimiento acordado previamente con el Emisor, con el fin de establecer que el Mensaje de Datos provcriía efectivamente de éste, o

11. El Mensaje de Datos que reciba el Destinatario o la Partc que Corifia, resulte de los actos de un Intermediario que le haya dado acceso a algún inetodo utilizado por el Emisor para identificar un Mensaje de Datos como propio.

Lo dispuesto en cl presente artículo no se aplicará: 1. A partir del momento en que el Destinatario o la Parte que

Confía, haya sido informado por el Emisor de que el Mensaje de Datos no provenía de éste, y haya dispuesto de un plazo razonable para actuar en consecuencia, o

11. A partir del momento en que el Destinatario o la Parte que Confía, tenga conocimiento, o debiere tenerlo, de haber actuado con la debida diligencia o aplicado algún rnétodo convenido, que el Mensaje de Datos no provenía del Emisor.

Salvo prueba en contrario y sin perjuicio del uso de cualquier otro método de verificación de la identidad del Emisor, se presumirá que se actuó con la debida diligencia si el método que usó el Desti- natario o la Partc que Confía cumple con los requisitos establecidos en este Código para la verificación de la fiabilidad de las Firmas Electrónicas.

ART. 91.-Salvo pacto en contrario entre el Emisor y el Destina- tario, el momento de recepción de un Mensaje de Datos se determi- nará corno sigue:

1. Si el Destinatario ha designado un Sistema de Información para la recepción de Mensajes de Datos, ésta tendrá lugar en el momento en que ingrese en dicho Sistema de Información;

11. De enviarse el Mensaje de Datos a un Sistema de Información dcl Destinatario que no sea el Sistema de Información designado, o de no haber un Sistcnia de Información designado, en el momento en que el Destinatario recupere el Mensaje de Datos, o



111. Si el Destiriatario no ha designado un Sistema de Informa- ción, la recepción tendrá lugar cuando el Mensaje de Datos ingrese a un Sistema de Información del Destinatario.

Lo dispuesto en este artículo será aplicable aun cuando el Sis- tema de Información esté ubicado en un lugar distinto de donde se tenga por recibido el Mensaje de Datos conforme al artículo 94.

ART. 91 BIS.-Salvo pacto en contrario entre el Emisor y el Desti- natario, el Mensaje de Datos se tendrá por expedido cuando ingrese en un Sistema de Información que no esté bajo el control del Emisor o del Intermediario.

APJ. 92.-En lo referente a acuse de recibo de Mensajes de Datos, se estará a lo siguiente:

1. Si al enviar o antes de enviar un Mensaje de Datos, el Emisor solicita o acuerda con el Destinatario que se acuse recibo del Mensaje de Datos, pero no se ha acordado entre éstos una forma o método dcterminado para efectuado, se podrá acusar recibo mediante:

a) Toda comunicación del Destinatario, automatizada o no, o 6 ) Todo acto del Destinatario, que baste para indicar al Emisor

que se ha recibido el Mensaje de Datos. 11. Cuando el Emisor haya indicado que los efectos del Mensaje

de Datos estarán condicionados a la recepción de un acuse de recibo, se considerará que el Mensaje de Datos no ha sido enviado en tanto que no se haya recibido el acuse de recibo en el plazo fijado por el Emisor o dentro de un plazo razonable atendiendo a la naturaleza del negocio, a partir del momento del envío del Mensaje de Datos;

111. Cuando el Emisor haya solicitado o acordado con el Desti- natario que se acuse recibo del Mensaje de Datos, indrpendiente- mente de la forma o rnétodo determinado para cfectuarlo, salvo que:

a) El Emisor no haya indicado expresamente que los efectos del Mensaje de Datos estén condicionados a la recepción del acuse de recibo, y

b) No se haya recibido el acuse de recibo en el plazo solicitado u acordado o, en su defecto, dentro de un plazo razonable atendiendo a la naturaleza del negocio.

El Emisor podrá dar aviso al Destiriatario de que no ha recibido el acuse de recibo solicitado o acordado y fijar u11 nuevo plazo razonable para su recepción, contado a partir del momento de este aviso. Cuando el Emisor reciba acuse de recibo del Destinatario, se presu- mirá que éste ha recibido el Mensaje de Datos correspondiente;



IV. Cuando en el acuse de recibo se indique que el Mensaje de Datos rccibido cumple con los requisitos técnicos convenidos o establecidos en ley, se presumirá que ello es así.

ART. 93.-Cuando la ley exija la forma escrita para los actos, co~ivenios o contratos, este supuesto se tendrá por cumplido tratán- dose de Mensaje de Datos, sieinpre que la información en él contenida se mantenga íntegra y sea accesible para su ulterior consulta, sin importar el formato en el que se eucuentre o represente.

Cuando adicionalrnente la ley exija la firma de las partes, dicho requisito se tendrá por cumplido tratándose de Mensaje de Datos, siempre que éste sea atribuible a dichas partes.

En los casos en que la ley establezca como requisito que un acto jurídico deba otorgarse en instrurriento ante fedatario público, éste y las partes obligadas podrán, a través de Mensajes de Datos, expresar los términos exactos en que las partes han decidido obligarse, en cuyo caso el fedatario público deberá hacer constar en el propio instrumento los eleineiitos a través de los cuales se atribuyen dichos mensajes a las partes y conservar bajo su resguardo una versión íntegra de los misnios para su ulterior consulta, otorgando dicho instrumento de conformidad con la legislación aplicable que lo rige.

ART. 93 BIS.-Sin perjuicio de lo dispuesto en el artículo 49 de este Código, cuando la ley requiera que la información sea presentada y conservada en su fonua original, ese requisito quedará satisfecho respecto a un Mensaje de Datos:

1. Si existe garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez eu su forma definitiva, como Mensaje dc Datos o en alguna otra forma, y

11. De requerirse que la información sea presentada, si dicha infonnacióu puede ser mostrada a la persona a la que se deba presentar.

Para efcctos de este artículo, se considerará que el contenido de un Meusaje de Datos es íntegro, si éste ha permauecido completo e iualterado indepeiidientemente de los cambios que hubiere podido sufrir el medio que lo contiene, resultado del proceso de comunica- ción, archivo o prescntación. El grado de confiabilidad requerido será detenninado conforme a los fines para los que se geueró la infonnación y de todas las circuustancias relevantes del caso.

ART. 94 .Sa lvo pacto en coiitrario entre el Eniisor y el Destina- taiio, el Mensaje de Datos se tendrá por expedido en el lugar donde



el Emisor tenga su establecimiento y por recibido en el lugar donde el Destinatario tenga el suyo. Para los fines del presente artículo:

1. Si el Emisor o el Destinatario tienen más de un establecimien- to, su establecimiento será el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, su establecimiento principal, y

11. Si el Emisor o el Destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.

ART. 95.-Conforme al articulo 90, siempre que se entienda que el Mensaje de Datos proviene del Emisor, o que el Destinatario tenga derecho a actuar cou arreglo a este supuesto, dicho Destinatario tendrá derecho a considerar que el Mensaje de Datos recibido corresponde al que quería enviar el iniciador, y podrá proceder en consecuencia. El Destinatario no gozará de este derecho si sabía o hubiera sabido, de haber actuado con la debida &ligencia, o de haber aplicado algún método previamente acordado, que la transmisión había dado lugar a un error en el Mensaje de Datos recibido.

Se presume que cada Mensaje de Datos recibido es un Mensaje de Datos diferente, salvo que el Destinatario sepa, o debiera saber, de haber actuado con la debida diligencia, o de haber aplicado algún método previamente acordado, que el nuevo Mensaje de Datos era un duplicado.

De las firmas

&T. 96.-Las disposiciones del presente Código serán aplicadas

1 de modo que no excluyan, restrinjan o priven de efecto jurídico cualquier método para crear una F ima Electrónica.

&T. 97.-Cuando la ley requiera o las partes acuerden la existencia de una Firma en relación con un Mensaje de Datos, se entenderá satisfecho dicho requerimiento si se utiliza una Firma Electrónica que resulte apropiada para los fines para los cuales se generó o comu- nicó ese Mensaje de Datos.

La Firma Electrónica se considerará Avanzada o Fiable si cumple por lo menos los siguientes requisitos:

1. Los Datos de Creación de la Firma, en el contexto en que son utilizados, corresponden exclusivamente al Firmante;

11. Los Datos de Creación de la Firma estaban, en el momento de la firma, bajo el control exclusivo del Firmante;



111. Es ~osib le detectar cualquier alteración de la Finna Electró- nica hecha después del momento de la firma, y

IV. Respecto a la integridad de la información de un Mensaje de Datos, es posible detectar cualquier alteración de ésta Iieclia después del momento de la firma.

Lo dispuesto en el presente artículo se entenderá sin perjuicio de la posibilidad de que cualquier persona demuestre de cualquier otra manera la fiabilidad de una Firma Electrónica; o presente pruebas dc que una Finna Electrónica no es fiable.

A m . %.-Los Prestadores de Servicios de Certificación detemi- narán y harán del conociniiento de los usuarios si las Finrias Electró- iiicas Avanzadas o Fiables que les ofrecen cuniplen o no los requen- inientos dispuestos en las fi-acciones 1 a N del artículo 97.

La determinación que se haga, con arreglo al párrafo anterior, deberá ser compatible con las normas y cnterius internacionales reconocidos.

Lo dispuesto en el presente artículo se entenderá sin perjuicio de la aplicacióri de las normas del derecho internacional privado.

ART. 99.-El Firmante deberá: 1. Cumplir las obligaciones derivadas del uso de la Firma Elec-

trónica; 11. Actuar con diligencia y establecer los medios razonables para

evitar la uiilización no autorizada de los Datos de Crcación de la Firma;

111. Cuando se emplee un Certificado en relación con una Firma Electrónica, actuar con diligencia razonable para cerciorarse d e que todas las declaraciones que haya hecho en relación con el Certifica- do, con su vigencia, o que hayan sido consignadas en el mismo, son exactas.

El Firniante será responsable de las corisecuencias jurídicas que deriven por no cu~riplir oportunamente las obligaciones previstas en el prescrite artículo, y

IV. Responder por las obligaciones derivadas del uso no autorizado de su firma, cuando no hubiere obrado con la debida diligencia para inipedir su utilización, salvo que cl Destinatario conociere de la inseguridad de la Firma Electrónica o no huhiere actuado con la dcliida diligencia.



De los prestadmes de servicios de certiJicación

&T. 100.-Podrán ser Prestadores de Servicios de Certificación, previa acreditación ante la Secretaría:

1. Los notarios públicos y corredores públicos; 11. Las personas morales de carácter privado, y 111. Las instituciones públicas, conforme a las leyes que les son

aplicables. La facultad de expedir Certificados no conlleva fe pública por sí

misma, así los notarios y corredores públicos podrán llevar a cabo certificaciones que impliquen o no la fe pública, en documentos en papel, archivos electrónicos, o en cualquier otro medio o sustancia en el que pueda incluirse inforinacióm

h ~ . 101.-Los Prestadores de Servicios de Certificación a los que se refiere la fracción 11 del artículo anterior, contendrán en su objeto sociai las actividades siguientes:

1. Verificar la identidad de los usuarios y su vinculación con los medios de identificación electrónica;

11. Comprobar la integridad y suficiencia del Mensaje de Datos del solicitante y verificar la Firma Electrónica de quien realiza la verificación;

111. Llevar a cabo registros de los elementos de identificación de los Firniaiites y de aquella información con la que haya verificado el cumplimiento de fiabilidad de las Firmas Electrónicas Avanzadas y emitir el Certificado, y

iV. Cualquier otra actividad no incompatible con las anteriores.

ART. 102.-Los Prestadores de Servicios de Certificación que hayan obtenido la acreditación de la Secretaría deberán notificar a ésta la iniciación de la prestación de servicios de certificación dentro de los 43 días naturales siguientes al comie~izo de dicha actividad.

A) Para que las personas indicadas en el artículo 100 puedan ser Prestadores de Servicios de Certificación, se requiere acreditación de la Secretaría, la cual no podrá ser negada si el solicitante cumple los siguientes requisitos, en el entendido de que la Secretaría podrá requerir a los Presiadores de Servicios de Certificación que comprue- ben la subsisteiicia del cumplimento de los mismos:

1. Solicitar a la Secretaría la acreditación como Prestador de Servicios de Certificación;



11. Contar con los elementos humanos, materiales, económicos y tecnológicos requeridos para prestar el servicio, a efecto de garantizar la seguridad de la información y su confidencialidad;

111. Contar con procedimientos definidos y específicos para la tramitación del Certificado, y medidas que garanticen la seriedad de los Certificados emitidos, la conservación y consulta de los registros;

N. Quienes operen o tengan acceso a los sistemas de certifica- ción de los Prestadores de Servicios de Certificación no podrán haber sido condenados por delito contra el patrimonio de las personas o que haya merecido pena privativa de la libertad, iii que por cualquier motivo hayan sido inhabilitados para el ejercicio de su profe- sión, para desempeñar un puesto en el servicio público, en el sistema financiero o para ejercer el comercio;

V. Contar con fianza vigente por el mouto y condiciones que se determinen en forma general en las reglas generales que al efecto se expidan por la Secretaría;

VI. Establecer por escrito su conformidad para ser sujeto a Auditoría por parte de la Secretaría, y

VII. Registrar su Certificado ante la Secretaría. E) Si la Secretaría no ha resuelto respecto a la petición del soli-

citante, para ser acreditado conforme al artículo 100 anterior, dentro de los 45 días siguientes a la presentación de la solicitud, se tendrá por concedida la acreditación.

ART. 103.-Las responsabilidades de las Entidades Prestadoras de Servicios de Certificación deberán estipularse en el contrato con los firmantes.

ART. 104.-Los Prestadores de Servicios de Certificación deben cumplir las siguientes obligaciones:

1. Comprobar por si o por medio de una persona física o moral que actúe en nombre y por cuenta suyos, la identidad de los solicitantes y cualesquiera circunstancias pertinentes para la emisión de los Certificados, utilizando cualquiera de los medios admitidos en derecho, siempre y cuando sean previamente notificados al solicitante;

11. Poner a disposición del Firmante los dispositivos de generación de los Datos de Creación y de verificación de la Firma Electrónica;

111. Informar, antes de la emisión de un Certificado, a la persona que solicite sus servicios, de su precio, de las condiciones precisas para la utilización del Certificado, de sus limitaciones de uso y, en su caso, de la forma en que garantiza su posible responsabilidad;

n! Mantener un registro de Certificados, en el que quedará constancia de los emitidos y figurarán las circunstancias que afecten



a la suspensión, pérdida o terminación de vigencia de sus efectos. A dicho registro podrá accederse por medios electrónicos, ópticos o de cualquier otra tecnología y su contenido público estará a disposi- ción de las personas que lo soliciten, el contenido privado estará a disposición del Destinatario y de las personas que lo soliciten cuando así lo autorice el Firmante, así como en los casos a que se refieran las reglas generales que al efecto establezca la Secretaría;

V. Guardar confidencialidad respecto a la información que haya recibido para la prestación del servicio de certificación;

VI. En el caso de cesar en su actividad, los Prestadores de Ser- vicios de Certificación deberán comunicarlo a la Secretaría a fin de determinar, conforme a lo establecido en las reglas generales expe- didas, el destino que se dará a sus registros y archivos;

VII. Asegurar las medidas para evitar la alteración de los Certi- ficados y mantener la confidencialidad de los datos en el proceso de generación de los Datos de Creación de la Firma Electrónica;

VIII. Establecer declaraciones sobre sus normas y prácticas, las cuales liarán del conocimiento del usuario y el Destinatario, y

IX. Proporcionar medios de acceso que permitan a la Parte que Confía en el Certificado determinar:

a) La identidad del Prestador de Servicios de Certificación; b ) Que el Firmante nombrado en el Certificado tenía bajo su

control el dispositivo y los Datos de Creación de la Firma en el momento en que se expidió el Certificado;

C) Que los Datos de Creación de la Firma eran válidos en la fecha en que se expidió el Certificado;

d) El método utilizado para identificar al Firmante; e) Cualquier limitación en los fines o el valor respecto de los

cuales puedan utilizarse los Datos de Creación de la Firma o el Cer- tificado;

f ) Cualquier li~niíación en cuanto al ámbito o el alcance de la responsabilidad indicada por el Prestador de Servicios de Certificación;

g) Si existe un medio para que el Fimiante dé aviso al Prestador de Servicios de Certificación de que los Datos de Creación de la Firma han sido de alguna manera controvertidos, y

h) Si se ofrece un servicio de terminación de vigencia del Cer- tificado.

ART. 105.-La Secretaría coordinará y actuará como autoridad Certificadora, y registradora, respecto de los Prestadores de Servicios de Certificación, previstos en este Capítulo.



&T. 106.-Para la prestación de servicios de certificación, las instituciones financieras y las empresas que les prestan servicios auxiliares o complementarios relacionados con transferencias de fondos o valores, se sujetarán a las leyes que las regulan, así como a las disposiciones y autorizaciones que emitan las autoridades financieras.

ART. 107.-Serán responsabilidad del Destinatario y de la Parte que Confía, en su caso, las consecuencias jurídicas que entrañe el hecho de que no hayan tomado medidas razonables para:

1. Verificar la fiabilidad de la Firma Electróuica, o 11. Cuando la Firma Electrónica esté sustentada por un Certificado: a) Verificar, incluso en forma inniediata, la validez, suspensión o

revocación del Certificado, y b) Tener en cuenta cualquier limitación de uso contenida en el

Certificado.

&T. 108.-Los Certificados, para ser considerados válidos, debe- rán contener:

1. La indicación de que se expiden como tales; 11. El código de identificación único del Certificado; 111. La identificación del Prestador de Servicios de Certificación

que expide el Certificado, razón social, su domicilio, dirección de correo electrónico, en su caso, y los datos de acreditación ante la Secretaría;

N. Nombre del titular del Certificado; V. Periodo de vigencia del Certificado; VI. La fecha y hora de la emisión, suspensión, y renovación del

Certificado; VIL El alcance de las responsabilidades que asume el Presta-

dor de Servicios de Certificación, y VIII. La referencia de la tecuología empleada para la creación

de la Finna Electrónica.

ART. 109.-Un Certificado dejará de surtir efectos para el futuro, en los siguientes casos:

1. Expiración del periodo de vigencia del Certificado, el cual no podrá ser superior a dos años, contados a partir de la fecha en que se hiibieren expedido. Antes de que concluya el periodo de vigencia del Certificado podrá el Firmante renovarlo ante el Prestador de Servicios de Certificación;

11. Revocación por el Prestador de Servicios de Certificación, a solicitud del Firmante, o por la persona física o moral representada por ésie o por un tercero autorizado;



-

ART. 111.-Las sanciones que se señalan en esle Capítulo se aplicarán sin perjuicio de la responsabilidad civil o penal y de las penas que correspondan a los delitos en que, en su caso, incurran los infractores.

ART. 112.-Las autoridades competentes harán uso de las medidas legalcs necesarias, incluyendo el auxilio de la fuerza pública, para lograr la ejecución de las sanciones y medidas de seguridad que procedan conforme a esta Ley. Incluso, en los procedimientos instaurados se podrá solicitar a los órganos competentes la adopción de las medidas cautelares que se estimen necesarias para asegurar la eficacia de la resolucióii que definitivamente se dicte.

M?'. 113.-En el caso de que un Prestador de Servicios de Cer- tificación sea suspeudido, inhabilitado o cancelado en su ejercicio, el registro y los Certificados que haya expedido pasarán, para su admi- nistración, a otro Prestador de Servicios de Certificación, que para tal efecto señale la Secretaría mediante reglas generales.

Reconocimialo de cmtzj5cados y *as electrónicas extranjeros

111. Pérdida o inutilización por daños del dispositivo en el que se contenga dicho Certificado;

IV. Por haberse comprobado que al momento de su expedición, el Certificado no cumplió con los requisitos establecidos en la ley, situación que no afectará los derechos de terceros de buena fe, y

V. Resolucióii judicial o de autoridad competente que lo ordene. ART. 110.-E1 Prestador de Servicios de Certificación que in-

cumpla con las obligaciones que se le imponen en el presente Capítu- lo, previa garantía de audiencia, y mediante resolucióii debidamente fundada y motivada, tomando en cuenta la gravedad de la situación y reincidencia, podrá ser sancionado por la Secretaría con suspen- sión temporal o definitiva de sus funciones. Este procedimiento ten- drá lugar coiiforme a la Ley Federal de Procedimiento Adniiriislraiivo.

ART. 114.-Para determinar si un Certificado o una Firma Elec- trónica extranjeros producen efectos jurídicos, o en qué medida los producen, uo se tomará en consideración cualquiera de los siguientes supuestos:

1. El lugar en que se haya expedido el Certificado o en que se haya creado o utilizado la Firma Electrónica, y

11. El lugar en que se encuentre el establecimiento del Prestador de Servicios de Certificación o del Firrnarite.



Todo Certificado expedido fuera de la República Mexicana pro- ducirá los mismos efectos jurídicos en la misma que un Certificado expedido en la República Mexicana si presenta un grado de fiabilidad equivalente a los contemplados por este Título.

Toda Firnia Electrónica creada o utilizada fuera de la República Mexicana producirá los mismos efectos jurídicos en la misma que una Firma Electrónica creada o utilizada en la República Mexicana si presenta un grado de fiabilidad equivalente.

A efectos de determinar si un Certificado o una Firma Electró- nica presentan uu grado de fiabilidad equivalente para los fines de los dos párrafos anteriores, se tomarán en consideración las normas interriacionales reconocidas por México y cualquier otro medio de convicción pertinenle.

Cuando, sin pe juicio de lo dispuesto en los párrafos anteriores, las partes acuerden entre sí la utilización de determinados tipos de Firmas Electrónicas y Certificados, se reconocerá que ese acuerdo es suficiente a efectos del reconocimiento transfronterizo, salvo que ese acucrdo no sea válido o eficaz conforme al derecho aplicable.

TRANSITORIOS

PRIMERO.-E1 presente Decreto comenzará su vigencia 90 días después de su publicación en el Diario Ofzcial de la Federación.

SEGUNDO.-Dentro del plazo de 90 días posteriores a la entrada en vigor del presente Decreto, el Ejecutivo emitirá las reglas generales a que se refieren las presentes disposiciones.

TERCERO.-En lo que se refiere al articulo 102, dentro de los doce nieses siguientes a la entrada en vigor de las reglas generales a que se refiere el artículo anterior, el plazo de 45 días a que se refiere el mis~no, será de 90 días.

CUARTO.-P~~ lo que se refiere al articulo 106, el Banco de Méxi- co, en el ámbito de su competencia, regulará y coordinará a la autoridad registradora central, registradora y certificadora, de las instituciones financieras y de las empresas mencionadas que presteu servicios de certificación.

México, D.F., a 8 de abril de 2003.-Dip. Armando Salinm Torre, Presidente.-Sen. Enrique Jackon Ramírez, Presidetite.-Dip. Adela Cere- zo Bautista, Secretaria.-Sen. Sara 1. Cartellonos Cortés, Secretaria.- Rúbricas".

En cumplimiento de lo dispuesto por la fracción 1 del artícu- lo 89 de la Constitución Política de los Estados Unidos Mexicanos, y



para su debida publicación y observaiicia, expido el presente Decreto en la Residencia del Poder Ejecutivo Federal, en la Ciudad de Méxi- co, Distrito Federal, a los dieciséis días del mes de junio de dos mil tres.-Vicente Fox @esada.-Rúbrica.-El Secretario de Gobernación, Santiago Cree1 Miranda.-Rúbrica.

Con fecha 19 de julio de 2004, se publicó en el Diario Oficial de la Federación el REGLAMENTO DEL CÓDIGO DE COMERCIO EN MATERIA DE PRESTADORES DE SERVICIOS DE CERTIFICACI~N.

Debido a la Importancia de este ordenamiento, y para mayor claridad del presente trabajo, a continuación se transcribe.

REGLAMENTO del Código de Comercio en Materia de Presta- dores de Servicios de Certificación.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.-Presidencia de la República.

WCENTE FOX QUESADA, Presidente de los Estados Unidos Mexicanos, eii ejercicio de la facultad que me confiere el artículo 89, fracción 1, de la Coiistitución Política de los Estados Unidos Mexica- nos, con fundamento en los artículos 89 a 114 del Código de Comer- cio y 34 de la Ley Orgánica de la Administración Pública Federal, he tenido a bien expedir el siguiente

Disposicioner generales

ART. l L E l presente ordenamiento tiene por objeto establecer las normas reglamentarias a las que deben sujetarse los Prestadores de Servicios de Certificación en materia de firma electrónica y expe- dición de Certificados para actos de comercio.

En la aplicación de este Reglamento se estará a las definiciones a que se refiere el artículo 89 del Código de Comercio.

ART. 2"La Secretaria aceptará cualquier método o sistema para crear una Firma Electrónica, Firma Electrónica Avanzada o Certifica- do, y promoverá que éstos puedan concurrir o funcionar con &feren- tes equipos y programas de cómputo, de conformidad con los principios de neutralidad tecnológica y compatibilidad internacional, en



términos del Código de Comercio, este Reglamento y las Reglas Generales que expida la Secretaría.

ART. 3 0 L a Secretaría elaborará una relación de los Prestadores de Servicio de Certificación acreditados o suspendidos y de las personas fisicas o morales que actúen en su nombre de conformidad con lo previsto en el artículo 104, fracción 1 del Código de Comercio. La relación deberá contener también a las personas físicas que for- men parte del personal de los sujctos antes señalados.

La Secretaría deberá mantener actualizada y disponible dicha relación para todos los usuarios, lo que podrá hacer a través del dominio que determine para tal efecto.

Am. 4"La Secretaría integrará un padrón de profesionistas en las materias jurídica e informática que coadyuven a impulsar la uti- lización de los medios electrónicos en los actos de comercio.

Para tal efecto, la Secretaría coordinará la capacitación de los refcridos profesionistas, con el propósito de que éstos puedan ser designados peritos o árbitros en materia de Prestación de Servicios de Certificación y Firma Electrónica.

De los wquisilos y del trámite de amditación

ART. I iLLos interesados en obtener la acreditación como Prestador de Servicios de Certificación deberán:

1. Presentar la solicitud de acreditación en los fonnatos que dctermiiie la Secretaría;

11. Adjuntar a la solicitud, s e g h corresponda, lo siguiente: a) En caso de los notarios o corredores públicos, copia certifica-

da de la patente, título de liabilitación o documento que en términos de la legislación de la materia les acredite estar en ejercicio de la fe pública;

h) En caso de las personas morales, copia certificada de su acta constitutiva, póliza u otro instrumento público, que acredite su cons- titución de acuerdo con las leyes nicxicanas y que su objeto social es el establecido en el artículo 101 del Código de Co~nercio, y

c) Las instituciones públicas, copia certificada del instrumento jurídico de su creación o, en su caso, copia certificada de su acta con* titutiva, de conformidad con las disposiciones jurídicas aplicables;

111. Comprobar que se cuenta al menos con los siguientes elementos:

a) Humanos. Un profesionista jurídico, un profcsionista infor- niático y cinco auxiliares de apoyo iriforinático;



b) Materiales. Espacio físico apropiado para la actividad, controles de seguridad, accesos y perímetros de seguridad física, medidas de protección, así como con las políticas necesarias para garantizar la seguridad del área;

C) Econbmicos. Capital que comprenderá al menos el equivalente a una cuarta parte de la inversión requerida para cumplir con los elementos humanos, tecnológicos y materiales, y un seguro de responsabilidad civil cuyo monto será determinado por la Secretaría con base en el auálisis de las operaciones comerciales y mercantiles en que sean utilizados los Certificados y no será menor al equivaiente a trcirita veces el salario mínimo general diario vigente en el Distrito Fcderal correspondiente a un año, y

d) Dcnológios. Consistentes en: 1) Análisis y Evaluacióii de Ries gos y Amenazas; 11) Infraestructura infor~nática; 111) Equipo de cómpu- to y software; IV) Política de Seguridad de la Información; V) Plan de continuidad del Negocio y Recuperación ante Desastres; VI) Plan de Seguridad de Sistemas; VII) Estructura de Certificados; VIII) Estmc- tnra de la Lista de Certificados Revocados; IX) Sitio electrónico; X) Procediinientos que infonnen de las características de los procesos de creación y verificación de Firma Electrónica Avanzada; XI) Po- lítica de Certificados; XII) Declaración de Prácticas de Certificación; XIII) Modelos de las autoridades certificadora y registradora; XIV) Plan de administración de claves.

Los elementos descritos en la presente fracción deberán ajusiar- se a las especificaciones que determine la Secretaría en las Reglas Ge- nerales, a efecto de que las prácticas y políticas que se apliquen garanticen la coritiniridad del servicio, la seguridad de la información y su confidencialidad;

1%'. Contar con procedimientos claros y definidos de conformidad con las Reglas Generales que emita la Secretaría;

V. Adjuntar a la solicitud una carta suscrita por cada persona física que pretenda operar o tener acceso a los sistemas que utilizará en caso de ser acreditado, donde dicha persona manifieste bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, de que no fue condenado por delito contra el patrimonio de las personas y inuclio nienos inhabilitado para el ejercicio de la profesión, o para desempeiiar un puesto en el servicio público, en el sistema financiero o para ejercer el comercio;

VI. Contar con una póliza de fianza por el monto y condiciones que se determinan en el presente Reglainento y en las Reglas Gene- rales que al efecto expida la Secretaría;



VII. Acompañar a su solicitud, escnto de conformidad para ser sujeto de auditona por parte de la Secretaría en todo momento, para que ésta verifique el cumplimiento de los requisitos para obtener y mantener la acreditación como Prestador de Servicios de Certificación;

Cuando el interesado pretenda que sus Datos de Creación de Firma Electrónica permanezcan en resguardo fuera del territorio nacioiial, deberá solicitarlo a la Secretaría. En este caso, el interesado manifestará por escnto su conformidad de asumir los costos que impliquen a la Secretaría el traslado de su personal para efectuar sus auditorías, y

VIII. Registrar ante la Secretaría su Certificado, en los términos que establece el presente Reglamento.

AKT. @-Los notarios o corredores públicos podrán solicitar la acrcditación a través de personas morales, conforme a lo que establezca la legislación que les rige. En ningún caso se les eximirá de la responsabilidad individual, ni aun cuando para obtener la acredita- ción compartan la infraestructura que les permita prestar los servicios de certificacióri.

ART. ?-La Secretaría desahogará el trámite para obtener la acreditación como Prestador de Servicios de Certificación en los tér- minos de lo dispuesto por la Ley Federal de Procedimiento Adminis- trativo.

Sin perjuicio de lo anterior, la Secretaría deberá: 1. Remitir dentro de los cinco días siguientes a la recepción de

la solicitud el nombre, nacionalidad, actividad profesiorial, domicilio del interesado o el de su Representante legal según corresponda, a las secretarías de Goberiiación, de Relaciones Exteriores, de Educa- ción Pública, de Seguridad Pública, de Hacieuda y Crédito Público, de Comunicaciones y Transportes, y de la Furición Pública, así como a la Procuraduría General de la República y las autoridades locales o municipales o extranjeras que estime convenieute en atención a los domicilios indicados, para que en el ámbito de su competencia evalúen dicha información;

11. Revisar y evaluar de inanera preliminar, dentro de los veinte días siguientes a la recepción de la solicitud, la información y docu- mentación recibida. Cuaudo de la revisión detecte la falta de cualquiera de los rcquisitos señalados en el Código de Comercio y este Keglaniciito, prevendrá al interesado por escrito por única vez, para que subsane la omisión dentro del término de veinte días contados a partir de su notificación en ventanilla. Transcumdo dicho plazo sin que sea desahogada la preveución, se desechará el trámite;



111. Realizar una visita en el domicilio que señaló el interesado, dentro de los veinticinco días hábiles siguientes a la fecha de presen- taci61i de la solicitud, a efecto de llevar a cabo una auditoría para comprobar los requisitos para obtener la acreditación como Prestador de Servicios de Certificación que determinan el Código de Comercio y el presente Reglamento;

N. Resolver dentro de los cuarenta y cinco días hábiles siguientes a la presentación de la solicitud, la procedencia o no de otorgar la acreditación como Prestador de Servicios de Certificación; dicha resolución le será notificada al interesado por ventanilla. La Secreta- ría no podrá otorgar más de una acreditación al mismo interesado, y

V. Publicar en el Diario Oficial de la Federación las acreditaciones que otorgue en ténninos del presente articulo, dentro de los treinta días siguientes a la resolución que determine su procedencia. La mis ma situación se observará en caso de que la Secretaría no resuelva la solicitud del interesado en el plazo de la fracción anterior.

De la operación

Del inicio de operaciones

ART. @-La Secretaría establecerá en las Reglas Generales las condiciones a que se sujetará la fianza que otorgarán los interesados que obtengan su acreditación, previo al inicio de operaciones como Prestadores de Servicios de Certificación. Los interesados contarán con un plazo de diez días a partir de que se haya autorizado la procedencia de la acreditación, para obtener de compafiía debidamente autorizada la fianza que deberán de presentar ante la Secretaría.

ART. 99-La Secretaría, una vez que reciba la fianza, verificará que contenga lo seíialado en el Código de Comercio, en este Regla- mento y en las Reglas Generales que al efecto expida y, hecho lo anterior, procederá a expedir el Certificado respectivo al interesado y lo registrará a efecto de que éste pueda iniciar operaciones.

ART. 10.-La Secretaría, como autoridad certificadora y registradora, deberá comprobar la identidad del Prestador de Servicios de Certificación o su representante, para que éste pueda generar sus Datos de Creación de Firma Electrónica, sujetándose a lo dispuesto por los artículos 104, fracción N y 105 del Código de Comercio.



ART. 1 l.-El Prestador de Servicios de Certificación o su representante rio podrán revelar los Datos de Creación de Firma Electró- nica que correspondan a su propio Certificado y en todo caso serán responsables de su mala utilización. Dicho Certificado tendrá una vigencia de diez aiios.

ART. 12.-E1 Prestador de Servicios de Certificación deberá man- tcrier la fianza vigente y actualizada cri los casos siguientes:

1. Durarrtc todo el período que comprenda su acreditación y el aiio siguiente a su término, cese o revocación;

11. Cuando sea sancionado con suspensión temporal, y 111. Si se Iiubiere iniciado procediniierito administrativo o judi-

cial en su contra hasta que concluya el inisino. Lo anterior deberá consignarse expresamente eii la póliza

de fianza.

ART. 13.-La fianza que otorgue el Prestador de Servicios de Cer- tificación, se podrá hacer eiectiva, cuando éste cause dafios o pe juicios a los usuarios de sus servicios por iiicumplimieiito de sus obligaciones o por el indebido deserripefio de sus funciones. Su monto tanibién se aplicará para cubrir los gastos que erogue la Secretaría, por actuar en sustitución del Prestador de Servicios de Certificación, cuando éste sea suspendido, inhabilitado o cancelado en su ejercicio.

ART. 14.-El acreditado, una vez que haya cuiriplido con lo se- fialado en esta Sección, deberá notificar por escrito a la Secretaría la fecha en que inicie su actividad como Prestador de Servicios de Cer- tificación. La notificación podrá efectuarse dentro de los 45 días naturales siguientes al comienzo de dicha actividad.

AKT. 15.-E1 Prestador de Servicios de Certificación dcbcrá proporciona~. a la Secretaría su dirección electrónica, la que deberá iil- cluir en cada Certificado que expida para verificar en forma inmediata su validez, suspeiisióii o revocación. Esta dirección se utilizará por la Sccrctaría para agregarla a un dominio propio de consulta en línea, a través del cual la Parte que Confía podrá cerciorarse del estado que guarda cualquier Certificado emitido por un Prestador de Servicios de Cei-tificacióri.

ART. 16.-Los Prestadores de Servicios de Certiiicación deberán enviar en línea, mediante el procedimiento que establezcan las Re-



glas Generales que expida la Secretaria, una copia de cada Certifica- do que genercri. Los Certificados enviados se resguardarán por la Secretaría bajo el más estricto mecanismo de seguridad física y lógica.

ART. 17.-Para los efectos del artículo 108, fracción 111 del C6- digo de Comercio, los datos de acreditación ante la Secretaría, que corite~idrán los Certificados que expidan los Prestadores de Servicios de Certificación, incluirán al menos:

1. El nombre, denoniinación o razón social y domicilio del Prestador de Servicios de Certificación;

11. La dirección electrónica donde podrá verificarse la lista de certificados revocados a Prestadores de Servicios de Certificación, y

111. Los demás que, en atención al avancc tecnológico, se establezcan en las Reglas Generales que expida la Secretaría.

El Prestador de Servicios de Certificación deberá notificar a la Secretaría cualquier cambio que pretenda efectuar respecto de los datos a que se refiere cl presente artículo.

ART. 18.-La Secretaría determinará en las Reglas Generales que expida, la utilizacióii de un sello de tiempo para asegurar la fecha y hora de la emisión, suspensión y revocación del Certificado.

ART. 19.-La emisión, registro y conservación de los Certificados por parte de los Prestadores de Servicios dc Ccrtificación se efectuará en territorio nacional. La Secretaría, a través de las Reglas Generales preverá los inccanismos que garanticen que los Certificados emitidos por los Prestadores de Servicios de Certificación, en ningún caso, contengan elementos que puedan generar confusión en la Parte que Confía.

ART. 20.-La Secretaría podrá autorizar el resguardo de los Datos de Creacióii de Firma Electrónica del Prestador de Servicios de Cer- tificación fuera del territorio nacional. En este caso, el Prestador de Srrvicios de Certificación asumirá los costos que impliquen a la Se- cretaría el traslado de sus servidores públicos para efectuar las visitas de verificación a que se refiere la Sccción N de este Reglamento.

Del domicilio, objeto social y estatutos de los prestadores de servicios de certi$cación

ki'. 21 .-Los Prestadores de Servicios de Certificación deberán dar aviso a la Secretaría con quince días de anticipacibii para efectuar cambio de domicilio o modificaciones a su objeto social o estatutos,



a efecto de que ésta verifique la continuidad en el cumplimiento de los requisitos exigidos para obtener la acreditación.

ART. 22.-Para efecto del artículo 102, inciso A), fracción VI del Código de Coniercio, las auditorías que efectúe la Secretaría al prestador de Servicios de Certificación, se desahogarán en los térmi- nos previstos por la Ley Federal de Procedimiento Admiiiistrativo para las visitas de verificación, las cuales se practicarán de oficio o a petición del Titular del Certificado, Firmante o de la Parte que Confia.

De las infracciones y sanciones

ART. 23.-Las infracciones y sanciones previstas en el presente Capítulo se aplicarán, sin perjuicio de las demás responsabilidades en que pueda incurrir el Prestador de Servicios de Certificación o su personal.

AK'r. 24.-La Secretaría sancionará con suspensión temporal de uno hasta dos meses en el ejercicio de sus funciones al Prestador de Servicios de Certificación que:

1. Omita determinar y hacer del conocimiento de los usuarios si las Firmas Electrónicas Avanzadas o Fiables que les ofrecen cumplen o no los requerirnieiitos dispuestos en las fracciones 1 a IV del artícu- lo 97 del Código de Comercio;

11. Deje de cumplir con alguno de los requisitos señalados en las fracciones 11 a N y VI a VI1 del Apartado A) del artículo 102 del Código de Comercio;

111. Actúe en contravención de los procedimientos definidos y específicos para la tramitación de un Certificado;

IV. No permita que se efectúe la consulta inmediata sobre la validez, suspensión o revocacióri de los Certificados que emita, o

V. No iuforme, antes de la emisión de un Certificado, a la persona que solicite sus servicios, de su precio, de las condiciones precisas para la utilización del Certificado, de sus limitaciones de uso y, en su caso, de la forma en que garautiza su posible responsabilidad.

ART. 25.-La Secretaría sancionará con suspensión temporal de tres meses y hasta cuatro meses en el ejercicio de sus funciones al Prestador de Servicios de Certificación que:



1. Reincida en cualquiera de las conductas u omisiones a que se refiere el artículo anterior;

11. Cambie su domicilio, objeto social o estatutos sin dar aviso previo a la Secretaría, dentro del plazo previsto en el artículo 21 del presente Reglamento;

111. Omita notificar a la Secretaría la iniciación de la prestación de servicios de certificación dentro de los cuarenta y cinco días naturales siguientes al comienzo de dicha actividad;

N. Omita remitir a la Secretaría una copia de cada Certificado por él generado;

V. Omita poner a disposición del Firmante los dispositivos de generación de los Datos de Creación y de verificación de la F ima Electrónica, o

VI. Omita proporcioriar los medios de acceso al certificado que permitan a la Parte que Confía en el Certificado determinar las situa- ciones o circunstancias a que se refiere el artículo 104, fracción IX del Código de Comercio.

ART. 26.-La Secretaría sancionará con suspensión temporal de cinco y hasta seis meses en el ejercicio de sus funciones, al Prestador de Servicios de Certificación que:

1. Reincida en cualquiera de las conductas a que se refiere el artículo anterior;

11. No cuente con fianza vigente por el monto y condiciones que se determinan en forma general eri este Reglamento y en las Reglas Generales que expida la Secretaría;

111. Provoque la nulidad de un acto jurídico por su negligencia, imprudencia o dolo, en la expedición de un Certificado, o

N. Omita notificar a la Secretaría cualquier cambio que pretenda efectuar respecto de los datos a que se refiere el artículo 170. del presente Reglamento.

ART. 27.-La Secretaría sancionará con suspensión definitiva en el ejercicio de sus funciones al Prestador de Servicios de Certifi- cación que:

1. Reincida en cualquiera de las conductas a que se refiere el artículo anterior;

11. No compruebe la identidad de los solicitantes y cualesquiera circunstancias pertinentes para la emisión de un Certificado, en los términos establecidos por el Código de Comercio, este Reglamento y las Reglas Generales;

111. Proporcione documentación o información falsa para obtener la acreditacióri como Prestador de Servicios de Certificación;



N. Altere, modifique o destruya los Certificados que emita sin que medie resolución de la Secretaría o de autoridad judicial que lo ordene;

V. Emita, registre o conserve los Certificados que expida, fuera del territorio nacional;

VI. Impida a la Secretaría efectuar las auditorías a que se refiere el Código de Comercio y este Reglamento;

VII. Revele los Datos de Creación de Firma Electrónica que correspondari a su propio Certificado, y

VíII. Difunda sin autorización la información que le ha sido confiada o realice cualquier otra conducta que vulnere la confidcn- cialidad de la misma.

ART. 28.-Cuando la Secretaría suspenda a un Prestador de Ser- vicios de Certificación en sus f~inciones, deberá revocar su correspondiente Certificado, ya sea de manera temporal o definitiva, y lo agre- gari al listado de certificados revocados en cl dominio que establezca para tal efecto y publicará un extracto de la resolución en el Diario Oficial de la Federación, a efecto de que cualquier usuario verifique en todo momento si un Prestador de Servicios de Certificacibn puede o no ejercer su función. En el caso de suspensión definitiva la Secre- taría deberá además revocar la acreditación.

ART. 29.-La Secretaría tomará las medidas necesarias que garanticen, en beneficio de los usuarios, la continuidad del seMcio materia del presente Reglamento en los términos de las Reglas Ge- nerales que emita la Secretaría.

TRANSITORIO

ÚNICO.-~l presente Reglamento entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

Dado en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a los catorce días del mes de julio de dos mil cuamo.-VicenteFox @muda.-Rúbrica.-El Secretario de Economía, Fernun,do defesús Canales C1ariond.-Rúbrica.

Con fecha 10 de agosto del 2004, se publicaron en el Diario O@- cial de la Federación las Reglas Generales a las que deberán sujetarse los prestadores de Servicios dc Certificación.

Debido a la Irriportancia de este ordenamiento, y p a n mayor da- ridad del presente trabajo, a continuación se transcribe.



REGLAS generales a las que deberán sujetarse los prestadores de servicios de certificación.

Al margen un sello con el Escudo Nacional, que dice: Estados Uriidos Mexicanos.-Secreyía de Economía.

FEKNANDO DE TESUS CANALES CLARIOND, Secretario .de

inciso A) fracción V, 104 fracciones N i VI, 106 y 113 del Código de Comercio, artículos 2" 3? primer párrafo, 4Vracciones IV y V, 5" segundo párrafo, 6' segundo párrafo, 9" 10 fracción 111, 11, 12, y 16 fracción 111 del Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación, y

CONSIDERANDO

Que el Plan Naciorial de Desarrollo 2001-2006 establece que dentro del proceso de globalización corresponde al Estado promover las condiciones para la inserción competitiva de M&co en el nuevo orden ecoiióniico inuridial. Por lo que se promoverán todas las reformas necesarias para que la economía funcione ~iiejor, los mercados sean más eficaces y se reduzca el poder de mercado de monopolios y oli- gopolios. Asiniisino se buscará aumentar y extender la competitividad del país, la competitividad de las empresas, la competitividad de las cadenas productivas y la conipetitividad de las regiones. Lo anterior i~nplica regulación apropiada, disponibilidad oportuna y eficaz de infraestnictura económica para el desarrollo, fomento de capacida- des para el trabajo productivo de clase niundial, desarrollo tecnoló- gico y científico para la nueva economía; todo ello en el marco de una moderna cultura laboral y empresarial;

Que el Decreto por el que se reforman y adicionan diversas disposiciones del Código de Co~riercio en Materia de Firma Electrónica, publicado en el Diario Ojicial de la Federación el 29 de agosto de 2003, en el capítulo 111 que se adiciona denominado: "De los Presta- dores de Servicios de Certificación", determina que la Secretaría de Ecoriornía coordinará y actuará como autoridad certificadora, y registradora, respecto de los Prestadores de Servicios de Certificación a los que se refiere dicho capítulo, en ese mismo capítulo se seiiala que la Secretaría de Economía tiene que determinar algunos de los requisitos y obligaciones solicitados en el Código de Comercio, y

Que el Reglamento del Código de Comercio en materia de Pres- tadores de Servicios de Certificación, publicado en el Diario Ofcial de la Federación el 19 de julio de 2004, señala que los elenientos liu~nanos,



materiales, económicos y tecnológicos, así como el monlo y condiciones de la fianza y demás procedimientos con los que tiene que cumplir el Prestador de Servicios de Certificación, serán determinados por la Secretaría de Economía, he tenido a bien expedir las siguientes:

REGLAS GENERALES A LAS QUE DEBERÁN SUJETARSE LOS PRESTADORES DE SERVICIOS DE CERTIFICACI~N

1. En la aplicación de las presentes Reglas Generales se estará a las definiciones a que se refiere el artículo 89 del Código de Comer- cio y se entenderá por Reglamento al Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación.

2. Conforme a lo dispuesto por el artículo 102 inciso A) fracciones 11 y 111 del Código de Comercio y la fracción 111 del artículo 5 del Reglamento, la Secretaría tendrá por satisfechos los elementos humanos, materiales, económicos y tecnológicos y procedimientos a que se refieren dichas disposiciones, por parte de un Solicitante de Acredi- tación como Prestador de Servicios de Certificación, en adelante el Solicitante de Acreditación, y por un Prestador de Servicios de Cer- tificación ya acreditado, en los términos siguientes:

2.1. Elementos humanos Los profesionales jurídico e informático serán responsables de

aprobar el plan de continuidad del negocio que señalan las presentes Reglas Generales. El grado académico, los cursos con los que deben contar los profesionales jurídico, informático, así como el personal auxiliar del profesional informático y los requisitos que deben cumplir serán al menos los siguientes:

2.1.1. El profesional jurídico deberá: 2.1.1.1. Ser licenciado en derecho o abogado con titulo y cédula

profesional registrados en la Secretaría de Educación Pública; 2.1.1.2. Demostrar al menos dos años de experiencia en materia

notarial o de correduría pública, o en materia mercantil y servicios, procedimientos o actividades relacionadas con la acreditación de la personalidad;

2.1.1.3. Acreditar al menos un aiío de experiencia comprobable en actividades relacionadas con cualquier área del derecho informático o comercio electrónico;

2.1.1.4. Cumplir con el requisito establecido en el articulo 102 inciso A) fracción N del Código de Comercio y el artículo 5 fracción V del Reglamento;

2.1.1.5. Comprobar que conoce la operación como usuarios de los sistemas infonnáticos que habrá de utilizar el Solicitante de Acre- ditación y el Prestador de Servicios de Certificación, y



2.1.1.6. Solicitud de examen para encargado de identificación corrrspondiente, mismo que aplicará la Secretaría dentro de los cuarenta y cinco días siguientes a la presentación de la solicitud del Solicitante dc Acreditación, previa notificación de fecha, hora y lugar en el que se aplicará el mismo.

2.1.1.7. Los requisitos de los apartados del 2.1.1.2. al 2.1.1.5. podrán acreditarse con declaración ante fedatario público en la cual el profesionista jurídico manifieste bajo protesta de decir verdad y advertido de las penas en que incurrcn los que declaran falsamente ante una autoridad distinta a la judicial, que cumplc con cada uno de los requisitos y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas.

2.1.2. El profesional informático debera 2.1.2.1. Ser licenciado o ingeniero en área Informática o afín,

con título y cédula profesional registrados en la Secretaría de Educa- ción Pública;

2.1.2.2. Coniprobar al menos dos años de experiencia en el campo de seguridad informática con declaración ante fedatario pú- blico en la cual el profesionista informático manifieste bajo protesta de decir verdad y advertido de las penas en que incurrcri los que declaran falsamente ante una autoridad distinta a la judicial, que cumple con la misma y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas. Además, deberá contar con diploma en seguridad informática o, en su caso, tener alguna certi- ficación en esta área como: "GIAC Gold Standard Certificates (GGSC), GiAC Security Leadership Certificate (GSLC), CISSP Certification y SSCP Certification" o equivalentes, y

2.1.2.3. Cumplir con el requisito establecido en el artículo 102 inciso A) fracción IV del Código de Comercio y cl artículo 5 fracción V del Reglamento.

2.1.3. El Persoual Auxiliar del Profesional Iní'ormático esiará conformado por:

2.1.3.1. Un Oficial de Seguridad; 2.1.3.2. Un administrador de sistemas; 2.1.3.3. Un operador de sistemas; 2.1.3.4. Un administrador de bases de datos, y 2.1.3.5. Un adniiriistrador de redes. 2.1.3.6. El personal indicado en los apartados 2.1.3.2 a 2.1.3.5

deberán:



2.1.3.6.1. Ser técnico, licenciado o ingeniero en área Informáti- ca o afín;

2.1.3.6.2. Tener experiencia comprobable en el área de informá- tica de cuando menos cuatro anos, con declaración ante fedatario público en la cual el personal auxiliar del profesionista informática, a excepción del Oficial de Seguridad manifiesten cada uno bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a lajudicial, que cumple con la misma y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas, así como las cartas de las empresas o i~islituciones públicas en donde la haya adquirido;

2.1.3.6.5. Comprobar experiencia en el campo de la seguridad informática de cuando menos dos años, con declaración ante fedata- no público en la cual el personal auxiliar del profesionista infonnático, a excepción del Oficial de Seguridad manifiesten cada uno bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, que cumple con la misma y que incluya los datos de las empresas o iristitucio- nes y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas, así como las cartas de las empresas o instituciones públicas en donde la haya adquirido.

2.1.3.6.4. Acreditar al menos una certificación en nianejo de software o hardware referente a seguridad informática.

2.1.3.7. El Oficial de Seguridad será responsable del diseño, im- plantación, curnplirniento de los procedimientos y prácticas de seguridad en las instalaciones y deberá acreditar:

2.1.3.7.1. Los requisitos exigidos en el apartado 2.1.2. 2.1.3.8. A partir del inicio de operaciones en los ténninos pre-

vistos por el Reglamento, el Prestador de Servicios de Certificación deberá contar y notificar a la Secretaría, en un plazo rio mayor a seis meses, que cuenta con la totalidad del personal auxiliar del profesional infonnático, salvo el caso del Oficial de Seguridad que deberá estar designado desde el momento de la solicitud de acreditación y podrá ser el propio Profesional Infonnático.

2.1.4. La Secretaría, a efecto de verificar los conocimientos y habilidades de los elerrieritos hunianos de un solicitante de acredita- ción o de un Prestador de Servicios de Certificación, podrá requerir los exámenes que se hayan aplicado a dicho personal. Asimismo, en el caso del profesional iiiformático y sus auxiliares se constatará que la elaboración y alcance de dichos exámenes sea compatible con el



estándar ISO 17799, además en el caso del Oficial de Seguridad deberá ser compatible con el estándar ETSI TS 102 042.

2.1.5. El Solicitante de Acreditación y el Prestador de Servicios de Certificación presentará y mantendrá actualizado ante la Secreta- ría, el procedimiento que utilizarán para reclutar, seleccionar, evaluar y contratar al personal a que se refieren las presentes Reglas Gene- rales, el cual deberá describir la forma de corroborar los antecedentes del personal antes de contratarlo.

2.1.6. El Prestador de Servicios de Certificación deberá suscribir con el personal que maneje infonnación confidencial un contrato de conlidericialidad que se extienda más allá de la vigencia del contrato laboral del empleado o de servicios en caso de una empresa cxterna.

2.2. Elementos Materiales y sus procedimieritos: En atención al dinamismo del avance tecnológico y la necesidad

de preservar la seguridad física y lógica eu la prestación del servicio de certificación, los elenieiitos materiales que deberán estar en disposición del Solicitante de Acreditación y del Prestador de Servi- cios de Acreditación y los procedimientos aplicables en este ámbito, deberán contener como mínimo las características siguientes:

2.2.1. Las áreas y los servicios en los cuales se maneja informa- ción confidencial requerirán procedimientos de controles de acceso, deberán estar supervisados continuamente, a efecto de reducir al mínimo los riesgos.

2.2.2. Las iniplatitaciones de los controles deberán evitar riesgo, dafio o pérdida, de los activos, alteración o sustracción de infonnación.

2.2.3. Los accesos físicos a las áreas de generación de certificados, gestión de rcvocacióri de certificados y área de residencia de servidorcs, deberán estar protegidas con puertas y rnuros sólidos y firmes, chapas seguras, controles de acceso, sistemas dc extinción de incendios y alarmas de seguridad, y sc encontrarán limitados sólo al personal autorizado mediante controles de autenticación de por lo menos dos factores para asegurar que no habrán accesos no autorizados. Los servicios co~iipartidos por otra entidad distinta al Prestador de Servicios de Certificación o por personal de éste no dedicado al scrvicio dc certificación, deberán estar fuera del perínietro de seguridad.

2.2.4. El acceso de visitas a las áreas con información cotifiden- cid deberá ser autorizado por el Oficial de Seguridad. El visitante deberá portar una credencial en todo monierito para identificarse. Se deberá registrar toda actividad que realice el visitante con la fecha y hora de ingreso y salida.



2.2.5. Un documento que se denominará "Política de Seguridad Física", a que se sujetará la prestación del servicio, el cual será presentado por el Solicitanle de Acreditación con su solicitud y que el Prestador de Servicios de Certificación deberá mantener actualizado. El docuniento denominado "Política de Seguridad Física" deberá contemplar y desarrollar por lo menos los siguientes aspectos:

2.2.5.1. Control de acceso físico; 2.2.5.2. Protección y recuperación ante desastres; 2.2.5.3. Protecciones contra robo, forzamiento y entrada no

autorizada a los espacios físicos; 2.2.5.4. Medidas de protección en caso de incendio, contra fa-

llas de servicios eléctricos o de telecomunicaciones. y 2.2.5.5. Un procedimiento de actualización para autorización de

acceso al personal a las áreas restringidas. 2.2.6. Las áreas seguras deben ser oficinas cerradas dentro del

perímetro de seguridad física, contener mobiliario con gabinetes y chapas seguras.

2.2.7. Para la selección y el diseno de áreas scguras se debe tomar en cuenta la posibilidad de daños por fuego, sismo, inunda- ción, explosiones, desórdenes civiles, y otras formas de desastres naturales y causados por el hombre.

2.2.8. Todos los servicios claves deberán situarse alejados de las áreas de acceso y atención al público.

2.2.9. Los dispositivos como fax y fotocopiadoras deberán ubi- carse dentro de las áreas seguras que así lo requieran, siempre bajo coritrol para no comprometer la seguridad ni la confidencialidad de la información.

2.2.10. Todo material de desecho deberá ser destruido sin posibilidad de recuperación antes de desecharlo.

2.2.11. Las puertas y ventanas deberán estar siempre cerradas y aseguradas, instalando protecciones internas o externas en las mismas.

2.2.12. Deberá contarse con sistemas de detccción de intrusión física en puertas y ventanas del perímetro de seguridad. Aquellas salas desocupadas que estén dentro del perímetro de seguridad, deberán tener activado el sistema de detección de intrusos todo el tiempo.

2.2.13. La gestión de los servicios de procesamiento de informa- ción deberá estar físicamente separada del resto de los servicios.

2.2.14. Deberán establecerse procedimientos y prácticas de seguridad para el personal dentro del perímetro de seguridad, que con- templen por lo menos lo siguiente:



2.2.14.1. El personal deberá conocer y entender los procedimientos y prácticas de seguridad dentro del perímetro de seguridad;

2.2.14.2. Las áreas vacías deberán cerrarse y revisarse periódica- mente llevando una bitácora de tal revisión;

2.2.14.3. El personal de soporte que no es parte del personal del Solicitante de Acreditación o del Prestador de Servicios de Certifica- ción, deberá acceder a las áreas restringidas sólo eii caso necesario y si es autorizado por el Profesional Infonriático o el Oficial de Segu- ridad, además de ser acompañado por personal que sí lo esté;

2.2.14.4. No se deberá pennitir dentro del perímetro de seguridad equipo de grabación, audio o video, con excepción del propio equipo de seguridad; y de comunicaciones.

2.2.14.5. Las actividades sin supervisión dentro de las áreas seguras deberán definirse para evitar problemas de seguridad, y prevenir actividades contrarias al servicio;

2.2.14.6. La recepción de insnmos y la salida de basura deberán estar controladas y separadas del área de procesamiento de la infor- mación, para evitar accesos no autorizados;

2.2.14.7. Los requerimientos de seguridad para las áreas de aten- ción a clientes se determinarán a partir del Análisis y Evaluación de Riesgos y Amenazas a que se refieren las presentes Reglas Generales;

2.2.14.8. El personal que acceda a las áreas externas de recep ción de insumos y de desechos deberá estar controlado. Se deberá contar con los mecanisinos que impidan que el personal no auton- zado acceda a través de estas áreas al perímetro de seguridad;

2.2.14.9. Los procedimientos y prácticas para inspeccionar el material que ingrese, en busca de potenciales peligros antes de ser trasladados desde las áreas exteruas a las áreas de uso;

2.2.14.10. El equipo instalado deberá estar protegido para reducir las amenazas;

2.2.14.11. Contar con respaldo de sistemas no interrumpible de energía eléctrica, y con planta de energía eléctrica de emergencia para asegurar la continuidad del servicio de certificación;

2.2.14.12. El cableado eléctrico y de datos de los servicios de información confidencial deberá ser compatible con los estándares vigentes en la materia y protegidos contra daños e intervenciones;

2.2.14.13. Las líneas eléctricas no deberán interienr el funciona- niiento del cableado de datos;

2.2.14.14. Contar con el personal o los contratos de manteni- miento requerido para garantizar la continua disponibilidad e integridad de los equipos, de acuerdo a las especificaciones y periodos recomendados por los fabricantes;



2.2.1 4.1 5. Evitar que equipos, infonuación y software salgan de los perímetros de seguridad sin autorización.

2.2.14.16. Evitar que el cquipo portátil contenga información confidencial. Si hay alguna razón que justifique equipos portátiles que coutengan información confidencial o procesos críticos de la ope- racióii o iníormación de los usuarios de los certificados, éstos nunca deberán salir del perímetro de seguridad designado;

2.2.14.17. Evitar que los equipos sean reutilizados o queden en desuso conleniendo información confidencial;

2.2.14.18. Los discos duros, disquetes y demás medios de alma- cenarnicnto de información niagnético u óptico que ya no se utilicen debcrán ser destruidos antes de salir del perímetro de seguridad;

2.2.14.19. Establecer un mecanismo para registrar el mal funcionamiento, fallas, mantenimientos preventivos y correctivos, de los equipos sensibles para la operación del servicio;

2.2.14.20. Adoptar la política de "escritorio limpio y pantalla limpia" enfocados a evitar ricsgos de acceso no autorizado, pérdidas o daños a la información durante o fuera del horario de trabajo, y

2.2.15. La Seguridad Física propuesta por el Solicitante de Acre- ditación y cl Prestador de Servicios de Certificación, deberá ser compatible con las normas y criterios internacionales y al menos con el estáridar ETSI TS 102 042 -sección 7.4.4 Physical and E~ivironrnent security- e ISO/IEC 17799 sección 7.

2.3. Elenientos económicos: Los elementos económicos con que deberá contar el Solicitante

de Acreditación y el Prestador de Servicios de Certificación compreii- derán al menos:

2.3.1. El seguro cuyo monto aplicable para cada ano será determinado por la Secretaría con base en un análisis de las operaciones comerciales y mercantiles en las que sean utilizados los Certificados, monto que se dará a conocer mediante publicación en el Diario Ofi- cial de la Federación.

2.4. Elementos tecnológicos y sus procedimientos. Los elementos tecnológicos y sus procedimientos garantizarán la

continuidad del servicio, por lo que deberán ser compatibles con las normas y criterios internacionales, en atención a lo siguiente:

2.4.1. Análisis y Evaluacióii de Riesgos y Amenazas. El Solicitantc de Acreditación o cl Presrador de Servicios de Cer-

tificación deberá elaborar un documento denominado Análisis y Evaluación de Riesgos y Amenazas, en el que desarrolle los apartados y aspectos que a continuación se indican:



2.4.1.1. Realizar un estudio que identifique los riesgos e irnpac- tos que existen sobre las personas y los equipos, así como recomen- daciones de medidas para reducirlos;

2.4.1.2. Implerrientación de medidas de seguridad para la dismi- nución de los riesgos detectados o riesgos mínimos;

2.4.1.3. Proceso de evaluación continua para adecuar la valora- ción de riesgos a condiciones cambiantes del entorno, y

2.4.1.4. Determinar un proceso equivalente o adoptar el descrito en los documentos siguientes: "Risk Management Guide for Infor- matioti Technology Systerns, Special Publication 800-30. Recommen- datioris of the National Iustitute of Standards and Technology, October 2001", "Haiidbook 3, Risk Management, Version l., Australian Commu- nications Electronic Security lnstruction 33 (ACSI 33)", o aquellos que les sustituyan.

2.4.2. Iufraestructura informática: Deberá incluir al menos lo siguiente: 2.4.2.1. Una Autoridad Certificadora; 2.4.2.2. Una Autoridad Rerlstradora: " Z.4.?.3, I)i:p<isitos pda: D ~ I < I S de (:i.c;icióii clc Firina Elcctróiiica

d c . 1 I 'rrwdor dc Scivicios dc Cei.tilic;icióii \ sic rcsp:ildo, c<:i tificados y Listas de Certificados Revocados (LCR) basadasen un servicio de Protocolo de Acceso de Directorio dc Peso ligero (LDAP) o equivalente y un Protocolo de Estatus de Certificados en Línea (OCSP);

2.4.2.4. Los procesos de administración de la Infraestructura; 2.4.2.5. Un manual de Política de Certificados; 2.4.2.6. Una Declaración de Prácticas de Certificación, y 2.4.2.7. Los maiiuales de operación de las Autoridades Certifica-

dora y Registradora. 2.4.3. Equipo de cómputo y software: 2.4.3.1. Por lo menos un servidor de misión crítica para la Auto-

ridad Certificadora y la Autoridad Registradora, contemplando otro servidor de las misinas características para redundancia por seguridad.

2.4.3.2. Un servidor de misión crítica, coritemplando redundaii- cia por seguridad, para LDAP, LCR y OCSP.

2.4.3.3. Una computadora para almacenar el sistema de admi- nistración de la Irifraestmctura que se opera.

2.4.3.4. Un Sistema de Sello o Estampado de Tiempo, para in- sertar fecha y hora de emisión de los certificados, con las especificaciones y en los términos del apartado 7 dc las presentes Reglas.

2.4.3.5. Un dispositivo de alta seguridad que sea compatible con el estáridar FIPS-140 nivei 3, contemplando redundancia por seguri-



dad, para almacenar los Datos de Creación de Firma Electrónica del Prestador de Servicios de Certificación.

2.4.3.6. Un enlace mínimo de 512 Kilo Bytes, contemplando redundaucia con un enlace de al menos 256 Kilo Bytes a Internet.

2.4.3.7. Un ruteador, contemplando redundancia por seguridad. 2.4.3.8. Un muro de fuego (firewall), contemplando redundan-

cia por seguridad. 2.4.3.9. Un sistema de monitoreo de red. 2.4.3.10. Un sistema confiable de antivirus. 2.4.3.11. Herramientas confiables de detección de vulnerabilidades. 2.4.3.12. Sistcmas confiables de detección y protección de intrusión. 2.4.3.13. Las computadoras personales e impresoras necesarias

para la prestación del servicio. 2.4.4. Política de seguridad de la información.

1 La Política de Seguridad deberá constar por escrito y cumplir

con los siguientes requisitos: l 2.4.4.1. Ser congruente con el objeto del Prestador de Servicios

de Certificación; 2.4.4.2. Los objetivos de seguridad determinados deberán ser

claros, generales y no técnicos y resultado dei Análisis y Evaluacióii de Riesgos y Amenazas;

2.4.4.3. Estar basada en las recomeudaciones del estándar ISO 17799 sección tres;

2.4.4.4. Contar con los ~nanuales de Política General y los nece- sanos para establecer políticas específicas;

2.4.4.5. Cou base en el Análisis y Evaluación de Riesgos y Ame- nazas deberá11 identificarse los objetivos de seguridad relevantes y las amenazas potenciales relacionadas a los servicios suministrados, así conio las medidas a tomar para evitar y lirnitar los efectos de tales riesgos y amenazas;

2.4.4.6. Describir las reglas, directivas y procedimientos que in- diquen cómo son provistos los servicios y las medidas de seguridad as6ciadas;

2.4.4.7. Señalar el periodo de revisión y evaluación de la Política de Seguridad;

2.4.4.8. Ser consistente con la Declaración de Prácticas de Cer- tificación y con la Política de Certificados a que se refieren las presentes Reglas Gciierales, y

2.4.4.9. Incluir un proceso similar al descrito en: Internet Security Policy: A Teclinical Guide, by the National Institute of Standards and Technologies (NIST) .



2.4.5. Plan de Continuidad del Negocio y Recuperación ante Desastres.

2.4.5.1. El Solicitante de Acreditación y el Prestador de Servicios de Certificacióri deberán elaborar y presentar un Plan de Continui- dad del Negocio y Recuperación ante Desastres, que describa cómo actuará en caso de interrupciones del servicio. El Plan deberá ser mantenido y probado periódicamente, y describir los procedimientos de emergencia a seguir en al menos los siguientes casos:

2.4.5.1.1. Afectación al funcionamiento de software en el que se basarán los servicios del Prestador de Senrieios de Certificación;

2.4.5.1.2. Incidente de seguridad que afecte la operación del sistema en el que se basan los sewicios del Prestador de Senicios de Certificacióri;

2.4.5.1.3. Robo de los Datos de Creación de Firma Electrónica del Prestador de Servicios de Certificación;

2.4.5.1.4. Falla de los mecanismos de auditoría; 2.4.5.1.5. Falla en el hardware donde se ejecuta el producto en

el que se basarán los servicios del Prestador de Servicios de Certifi- cación, y

2.4.5.1.6. Mecanismos para preservar evidencia del mal uso de los sistemas.

2.4.5.2. En el Análisis y Evaluación de Riesgos y Amenazas se considerará el i~npacto que sufrirá el negocio, en caso dc interrupeio- nes no planificadas.

2.4.5.3. El Plan de Continuidad del Negocio y Recuperación ante Desastres deberá ser compatible con las Iionnas y criterios inter- nacioriales, al menos con los lineamientos descritos en el estándar ISO 17799 sección 11 o el estándar ETSI TS 102 042 sección 7.4.8, o los que les sustituyan. Además deberá ser coherente con los niveles de riesgo determinados en el Análisis y Evaluación de Riesgos y Amenazas y seguirá un proceso similar al descrito en: NIST ITL Bulletin June 2002, Contirigency Planning Guide for Information Systerns; NIST Special Publication 80034, Contirigency Planning Guide for Infomation Systems, June 2002; y NIST Special Publication 800- 30 Risk Management Guide, u otros textos posteriores equivalentes.

2.4.6. Plan de Seguridad de Sistemas. Los solicitantes de acreditación o los Prestadores de Servicios de

Certificación deberán contar con un Plan de Seguridad de Sistemas coherente con la Política de Seguridad de la Infonnación, que d e i criba los requerimientos de seguridad de los sistemas y de los controles a implantar y cumplir; así como delinear las responsabilidades y acceso de las personas a los sistemas.



2.4.6.1. El Plan de Seguridad de Sistema incorporara 2.4.6.1.1. La Política de Seguridad de la Infor~nación, seguridad

organimcional, conLrol y clasificación de activos, administración de operaciones y comunicaciones, control de accesos, desarrollo y man- tenimiento de sistemas, seguridad del personal, seguridad ambiental y física que sean compatibles con los señalados por la nornia ISO

l 17799;

2.4.6.1.2. Los mecanismos y procedimientos de seguridad pro- puestos que se aplicarán en todo momento;

2.4.6.1.3. La forma en que se garaiitizará el logro de los objetivos de la Política de Certificados y la Declaración de Prácticas de Certi- ficación. En caso de claves criptográficas, la manera en que se efec- tuará su administración, y

2.4.6.1.4. Las medidas de protección del depósito público de certificados y de iiiformacióri privada obtenida durante el registro.

2.4.6.2. Iinplantacióii del Plan de Seguridad de Sistemas. 2.4.6.2.1. El Solicitante de Acreditación y el Prestador de Servi-

cios de Certificación, verificarán que opcraciones, procedimientos y ineca~~isrnos permitan alcanzar sus objetivos y lograr el riesgo mini- mo detcrniinado en el Análisis y Evaluación de Riesgos y Amenazas, así como los controles de los aspectos mencionados en el apartado 2.4.6.1.1. La capacidad de administrar las instalaciones debe ser acor- de con el Plan de Seguridad de Sistemas.

2.4.6.2.2. La Implantación del Plan debe garantizar el logro de los objetivos de la Política de Certificados y la Declaración de Prác- ticas de Certificación, el cual debe de ser compatible por lo menos con las secciones 4 a 10 del estándar ISO 17799, o las que le sustituyan.

2.4.7. Estructura de Certificados. 2.4.7.1. La estructura de datos del Certificado debe ser coinpa-

tible con el estándar ISO/IEC 93948; además de contener los datos que aparecen en el articulo 108 del Código de Comercio, para ser cousiderados corno válidos.

2.4.7.2. Los algoritmos utilizados para la Firma Electrónica Avan- zada dcbeii ser compatibles con los estándares de la industria RFC 3280. Internet X509 Public Key Infraestructure Certificate and Certificate Revocation List (CRL) Proíile (Obsoletes 2459), R. Housley lbr. Polk, W. Ford, D. Solo, April 2002, o los que les sustituyan que provean un nivel adecuado de seguridad tanto para la firma del Prestador de Servicios de Certificación como del usuario.

2.4.7.3. En el caso de las claves utilizadas para la generación de una Firma Electrónica Avanzada, su tamaño deberá proveer el nivel de seguridad de 1024 bits para los usuarios y de 2048 bits para los



Prestadores de Servicios de Certificación. Deberán utilizar funciones hash conforme a estándares de la industria, actuales y que provean el adecuado nivel de seguridad para este tipo de firmas tanto del Prestador de Servicios de Certificación como del usuario.

2.4.7.4. Conte~idrán referencia o informacióu suficiente para identificar o localizar uno o más sitios de consulta donde se publi- quen las notiiicacio~ies de revocación de los certificados y al menos los que indican estas Reglas Generales.

2.4.8. Eslructura de la Lista de Certificados Revocados (LCR). 2.4.8.1. La estructura e información de la Lista de Certificados

Revocados deberá ser compatible con la última versión del estándar ISO/IEC 95948 o la que le sustituya, e incluir por lo menos la siguieute información:

2.4.8.1.1. Número de serie de los certificados revocados por el emisor con fecha y hora de revocación;

2.4.8.1.2. La identificación del algoritmo de firma utilizado; 2.4.8.1.3. El nombre del emisor; 2.4.8.1.4. La fecha y hora en que fue emitida la Lista de Certi-

ficados Kevocados; 2.4.8.1.5. La fecha en que emitirá la próxima Lista de Certifica-

dos Revocados que no podrá exceder de veinticuatro horas, con independencia de mantener el Protocolo de Estatus de Certificados en Línea (OCSP), y

2.4.8.1.6. La Lista de Certificados Revocados deberá ser firmada por el Prestador dc Servicios de Certificación que la haya emitido, con sus Datos de Creación de Firma.

2.4.9. El solicitante de acreditación y el Prestador de Servicios de Certificación deberán señalar un sitio electrónico de alta disponibilidad con mecanismos redundantes o alternativos de conexión y de acceso público a través de Internet que permitirá a los usuarios consultar los certificados emitidos de forma remota, continua y segura compatible con el estándar ISO/IEC 95948 o el que le sustituya, a efecto de garantizar la integridad y disponibilidad de la información ahí contenida. En dicho sitio se incluirá la Política de Certificados y la Declaración de Prácticas de Certificación.

2.4.10. El solicitante de acreditación y el Prestador de Servicios de Certificación definirán procedimientos que informe~i de las carac- terísticas de los procesos de creación y verificación de Firma Electró- nica Avanzada, así como aquellos que aplicarán para dejar sin efecto definitivo los certificados.

2.4.11. Política de Certificados



2.4.11.1. El solicitante de Acreditación y cl Prestador de Servi- cios de Certificación deberán establecer una Política de Certificados conforrnc a la cual se establecerá la confianza del usuario en el servicio, que:

2.4.1 1 .l. 1. Asegure su concordancia con la Declaración de Prác- ticas de Certificación y los procedimientos operacionales;

2.4.11.1.2. Permita la interoperabilidad con los Prestadores de Servicios de Certificación ya acreditados y con la Secretaría de Eco- noni ía;

2.4.11.1.3. Indique a quién se le puede otorgar un Certificado y cómo se aplicará el proceso de registro, y que se deberá verificar en forma fehaciente la identidad del usuario. Cuando se trate de un certificado que habrá de ser utilizado para generar Firma Electrónica Avanzada deberá describir la fonna en que se precisarán los propó- sitos, objetivos y alcances del Certificado y sus limitaciones. Asimis- mo, se deberán describir las obligaciones que contrae el Prestador de Servicios de Certificación y el usuario en la emisión y utilización del Certificado;

2.4.1 1.1.4. Dé a conocer las medidas de privacidad y de protec- ción de datos que se aplicarán en materia de Firma Electrónica Avan- zada. La Política de Certificados será pública;

2.4.11.1.5. Deberá establecer bajo qué circunstancias se puede revocar un Certificado y quiénes puede11 solicitarlo, y

2.4.11.1.6. Tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 o el que le sustituya.

2.4.12. Declaración de Prácticas de Certificación 2.4.12.1. En la Declaración de Prácticas de Certificación, que

debcrá elaborar y mantener actualizado el solicitante de acreditación y el Presiador de Servicios de Certificación, determinarán:

2.4.12.1.1. Los procedimientos de operación para otorgar certificados y el alcance de aplicación de los mismos;

2.4.12.1.2. Las responsabilidades y obligaciones del Prestador de Servicios de Certificación y de la persona a identificar. Particularmen- te desarrollará aquéllas inherentes a la emisión, revocación y expira- ción de certificados;

2.4.12.1.3. La vigencia de los certificados. Y una vez otorgada la acreditación por la Secretaria, la fecha de inicio de operaciones;

2.4.12.1.4. Detalladamente el método de verificación de identidad dcl usuario que se utilizará para la emisión de los certificados;

2.4.12.1.5. Procedimientos de protección de coiifidencialidad de la infor~nación de los solicitantes;



2.4.12.1.6. Un procedimiento para registrar la fecha y hora de todas las operaciones relacionadas con la emisión de un Certificado y conservarlas de nianera confiable;

2.4.12.1.7. Los procedimientos que se seguirán en los casos de suspensión temporal o definitiva del Prestador de Servicios de Certifica- ción y la forma en que la administración de los certificados emitidos pasarán a la Secretaría o a otro Prestador de Servicios de Certifica- ción, en el caso de suspensión definitiva;

2.4.12.1.8. Las medidas de seguridad adoptadas para proteger sus Datos de Creación de Firma Electrónica;

2.4.12.1.9. Los controles que se utilizarán para asegurar que el propio usuario genere sus Datos de Creación de Firma Electrónica, auten(icacióri de usuarios, emisión de certificados, revocación de certificados, auditoría y almacenamiento de información relevante, y

2.4.12.1.10. La Declaración de Prácticas de Certificación deberá ser coiripatible por lo menos con el estándar ETSI TS 102 042 y el RFC 3647 o el que le sustituya.

2.4.13. Modelo Operacional de la Autoridad Certificadora; 2.4.13 1. El solicitante de acreditación y el Prestador de Servicios

de Certificación deberán definir su Modelo Operacional de la Auto- ridad Certificadora conforme al cual operará y prestará sus servicios al furigir como autoridad certificadora a efecto de lograr confiabilidad e interoperabilidad, que desarrollará los apartados siguientes:

2.4.13.1 . l . Cuáles son los servicios prestados; 2.4.13.1.2. Cómo se interrelacionan los diferentes servicios; 2.4.13.1.3. En qué lugares se operará; 2.4.13.1.4. Qué tipos de certificados se entregarán; 2.4.13.1.5. Si se generarán ccrtificados con diferentes niveles de

seguridad; 2.4.13.1.6. Cuáles son las políticas y procedimientos de cada tipo

de certificado, y 2.4.13.1.7. Cómo se protegerán los activos. 2.4.13.2. El Modelo Operacional de la Autoridad Certificadora

deberá contener un resumen que incluya: 2.4.13.2.1. Contenido del documento; 2.4.13.2.2. La historia del posible Prestador de Servicios de Cer-

tificación, y 2.4.13.2.3. Relaciones comerciales con proveedores de insumos

o servicios para sus operaciones. 2.4.13.3. El Modelo Operacional de la Autoridad Certificadora

deberá comprender los siguientes aspectos: 2.4.13.3.1. Interfaces con las Autoridades Registradoras;



2.4.13.3.2. Implementación de elementos de seguridad; 2.4.13.3.3. Procesos de administración; 2.4.13.3.4. Sistema de directorios para los certificados; 2.4.13.3.5. Procesos de auditoria y respaldo, y 2.4.13.3.6. Bases de Datos a utilizar. 2.4.13.4. El Modelo Operacional de la Autoridad Certificadora

deberá considerar la Política de Certificados, la Declaración de Prác- ticas de Certificación, la Política de Seguridad de la Información y el Plan de Seguridad de Sistemas por lo que se refiere a la generación de claves.

2.4.13.5. El Modelo Operacional de la Autoridad Certificadora deberá incluir los requenniieiitos de seguridad física del personal, de las instalaciones y del módulo criptográfico.

2.4.14. Modelo Operacional de la Autoridad Registradora. 2.4.14.1. El solicitante de acreditación y el Prestador de Servicios

de Certificación debcrári definir su Modelo Operacional de la Auto- ridad Registradora confornie al cual operará y prestará sus servicios con su autoridad registradora a efecto dc lograr confiabilidad e interoperabilidad, que desarrollará los apartados siguientes:

2.4.14.1.1 Cuáles son los servicios de registro que se prestarán; 2.4.14.1.2 En qué lugares se ofrecerán dichos servicios, y 2.4.14.1.3 Qué tipos de certificados generados por la Autoridad

Certificadora se entregarán. 2.4.14.2. El Prestador de Servicios de Certificación deberá ofre-

cer los mecanismos para que el propio usuano genere en forma privada y segura sus Datos de Creación de Firma Electrónica. Deberá indicar al usuano el grado de fiabilidad de los mecanismos y dispositivos utilizados.

2.4.14.3. El Modelo Operacional de la Autoridad Registradora deberá cornprerider los siguientes aspectos:

2.4.14.3.1. Interfaces con Autoridad Certificadora; 2.4.14.3.2. Implementación de dispositivos de seguridad; 2.4.14.3.3. Procesos de administración; 2.4.14.3.4. Procesos de auditoría y respaldo; 2.4.14.3.5. Bases dc Datos a utilizar; 2.4.14.3.6. Privacidad de datos, y 2.4.14.3.7. Descripción de la scgundad física de las instalaciones. 2.4.14.4. El Modelo Operacional de la Autoridad registradora

deberá establecer el método para proveer de una identificación unívoca del usuario y el procedimiento de uso de los Datos de Crea- ción de Firma Electrónica.

2.4.15. Plan de Administración de Claves.



2.4.15.1. El solicitante de acreditación y el Prestador de Servicios de Certificación deberán definir su Plan de Ad~riiriistración de Claves confornie al cual generará, protegerá y adniinistrará sus claves cr ip tográíicas, respecto de los apartados siguientes:

2.4.13.1.1. Claves de la Autoridad Certificadora; 2.4.15.1.2. Almacenamiento, respaldo, recuperación y uso de los

Datos de Creación de Firma Electrónica de la Autoridad Certificado- ra del Prestador de Servicios de Certificación;

2.4.15.1.3. Distribución del certificado de la Autoridad Certifi- cadora;

2.4.15.1.4. Administración del ciclo de vida del hardware cnptográíico que utilice la Autoridad Certificadora, y

2.4.15.1.5. Dispositivos seguros para los usuarios. 2.4.15.2. Los procedimientos implantados de acuerdo al Plan de

Adininislraci6n de Claves, deberán garantizar la seguridad de las claves en todo momento, aun en caso de cambios de personal, componen- tes tecnológicos, y demás que señalan las presentes Reglas Generales.

2.4.15.3. El Plan de Administración de Claves deberá establecer como requerimiento iníninio el utilizar aquéllas con longitud de 1024 bits para los usuarios y de 2048 bits para los Prestadores de Servicios de Certificación.

2.4.15.4. El Prestador de Servicios de Certificación, su autoridad certificadora y registradoras, utilizarán dispositivos seguros para almacenar sus Dalos de Creación de Firma Electrónica, compatibles como iníniriio con el estándar FIPS-140 nivel S en sus clernentos de seguridad e implantación de los algoritmos criptográficos estándares, o el que le sustituya.

2.4.15.5. El Plan de Administración de Claves tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 sección 7.2 -Generación de la clave de la Autondad Certificadora, Alniace- namiento, Respaldo y Recuperación de la clave de la Autoridad Cer- tificadora, Distribución de la clave pública de la Autoridad Certifica- dora, uso de clave de la Autondad Certificadora, fin del ciclo de vida de la clave de la Autoridad Certificadora y Administración del ciclo de vida del Hardware criptográfico-, o el que le sustituya.

2.5. El Solicitante de Acreditación y el Prestador de Servicios de Certificación, deberán proporcionar a la Secretaría, la documen- tación con la que acredite el cumplimiento de los requisitos previstos en el Código, el Reglamento o en las presentes Reglas Generales confornie a lo siguiente:

2.5.1. Tratándose de documentos públicos en copia certificada o en copia simple con el original para cotejo, o



2.5.2. Traiándose de documentos privados en copia simple, y 2.5.3. Una copia en disco compacto de toda la documentacióu

presentada. 3. Para los efectos del artículo 102, inciso A), fracción V del

Código, las condiciones a que se sujetará la fiariza que otorgarán los solicitantes que obtengan su acreditación en términos del artículo anterior, previo al inicio del ejercicio de sus funciones como Prestadores de Servicios de Certificacióii, serán conforme a lo siguiente:

3.1. Una vez resuelta la procedeiicia de la solicitud de acredita- ción, en términos de la fracción IV del artículo 7 del Reglamento, el interesado deberá presentar la fianza de compaiiía debidamente autorizada a favor de la Tesorería dc la Federación, en el témino establecido eri el articulo 8 del mencionado Reglamento:

3.1.1. Tratándose de un notario o corredor públicos, por un monto equivalente a cinco mil veces el salario mínimo general diario vigente en el Distrito Federal;

3.1.2. Tratándose de personas niorales de carácter privado o instituciones públicas, por el monto resultante de multiplicar cinco mil veces el salario mínimo general diario vigente en el Distrito Fe- deral por cada persona física de su personal, o integrante de una persona moral distinta que se contemple para efectos del artícu- lo 104 fracción 1 del Código dentro de la acreditación para prestar el servicio de certificación en nombre y por cuenta del solicitante conforme al articulo 104 fracción 1 del Código;

3.2. Cuando la fianza tenga que ser otorgada por un notario o corredor público, la Secretaría podrá acordar que se otorgue de manera solidaria por parte de los colegios o agrupaciones de notarios o corredores públicos.

4. Para los efectos del articulo 10 del Reglamento, la Secretaría a través de sus servidores públicos comprobarán la identidad del solicitante de acreditación o del Prestador de Servicios de Certifica- ción o su representante, utilizando cualquiera de los medios admitidos en derecho.

4.1. Tratindose de la identificación del representante de un Prcstador de Senicios de Certificación que sea persona moral privada o institución pública, éste deberá acreditar su personalidad y la legal existencia de su representado a la Secretaría.

4.2. El Prestador de Servicios de Certificación generará sus Da- tos de Creación de Finna Electrónica, en el nivel de seguridad inás alto de sus instalaciones, a fin de dar certeza y seguridad a todos los elementos riecesarios para la creación de los mismos y bajo la super-



visión de la Secretaría, en dicha generación se podrá utilizar cualquier tecnología por lo que el procedimiento técnico variará de acuerdo a la que se utilice, lo anterior a fin de cumplir con el principio de neutralidad tecnológica.

5. Para los erectos de los artículos 113 del Código y 16 del Re- glamento, el procedimiento para obtener la copia de cada Certifica- do generado por un Prcstador de Servicios de Certificación, será mediante envío en línea de cada Certificado a la Secretaría, lo cual será en tiempo real, es decir, se enviará una copia de cada certificado inmediatamente después del momento de expedición de los Certifi- cados generados por el Prestador de Servicios dc Certificación en su autoridad certificadora.

5.1. En el caso que el Prestador de Servicios de Certificación por caso fortuito o de fuerza mayor debidamente comprobado a la Secre- taría, no pudiese llevar a cabo el envío a que se refiere el apartado anterior, el Prestador de Servicios de Certificación deberá hacer la réplica por cualquier medio en un término no mayor a seis horas.

5.2. Además dcl envío en línea de la copia de los Certificados, cl Prestador de Servicios de Certificación remitirá dicha copia a la Secretaría en medios ópticos o electrónicos dentro de las veinticuatro horas siguientes a la generación de los Certificados, a fin de garantizar redundancia del procedimiento técnico descrito en el apartado 5 anterior de estas Reglas Generales.

5.3. El Prestador de Servicios de Certificación deberá cerciorarse que la Secretaría recibió la copia de cada certificado.

6. Para los efectos del artículo 108 fracción 111 del Código y 17 fracción 111 del Reglamento, los datos de acreditación ante la Secre- taría observarán los siguientes elementos.

6.1. El Certificado emitido por el Prestador de Servicios de Certificación debe contener los datos que aparecen en el artículo 108 del Código de Comercio, para ser considerado válido.

6.2. Los certificados emitidos por el Prestador de Servicios de Certificación deberán contener la dirección eleclrónica de la Secre- taría, en donde se podrá consultar la Lista de los Certificados Revo- cados de Prestadores de Servicios de Certificación.

7. Para los efectos del artículo 108 fracción VI del Código y 18 del Reglamento, la fecha y hora de emisión del Certificado se deter- niinará conforme a lo siguiente:

7.1. El Prestador de Servicios de Certificación deberá llevar un registro del Sistema de Sello o Estampado de Tiempo que se sincronizará con el de la Secretaría, para asegurar la fecha y la hora



de la emisión de los certificados generados por el Prestador de Ser- vicios de Certificación.

7.2. El Sistema de Sello o Estampado de Tiempo deberá cumplir por lo menos con el esGndar internacional Internet X.509 Puhlic Key Infrastructure Time Stamp y considerar el RFC 3161.

7.3. El Prestador de Servicios de Certificación deberá asegurar en todo momento el enlace del Sistema de Sello o Estampado de Tiempo con el de la Secretaría.

7.4. El Sistema de Sello o estampado de tiempo podrá ser del propio Prestador de Servicios de Certificación o de una persona físi- ca o moral que lo lleve en nombre y por cuenta del Prestador de Servicios de Certificación.

8. Para efectos del artículo 19 del Reglamento, la Secretaría verificará que los Prestadores de Servicios de Certificación cuniplan con la estructura de certificados refeiida en las presentes Reglas Gc- nerales en los apartados 2.4.7. al 2.4.7.4., así como con los estándares internacionales, el C6digo de Comercio, el Reglamento y estas Reglas Generales, con el objetivo de asegurar que los certificados emitidos por los Prestadorcs de Servicios de Certificación, en ningún caso, contengan elementos que puedan generar confusión en la Parte que Confía.

9. Para los efectos del artículo 104 fracción N del Código de Comercio, los casos en que estará a disposición el contenido privado del Regislro de Certificados de un Prestador de Servicios de Certifica- ción se sujetarán a lo dispuesto por la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

10. El Prestador de Servicios de Certificación que en términos del artículo 104 fracción VI, quiera cesar de nianera voluntaria su actividad, previo pago de derechos tiene que informar el motivo de dicho cese con cuarenta y cinco días de anticipación a la Secretaría a efecto de que la misma se cerciore que se ha cumplido con lo establecido en el artículo 16 del Reglamento y el apartado 5, 5.1 y 5.2 de las presentes Reglas Generales.

11. Abreviaturas utilizadas en las presentes Reglas Generales. 11 .l. GIAC-Global lnformation Assurance Certification. 11.2. GGSC GIAC Gold Standard Certificates. 11.3. GSLC-GIAC Security Leadersliip Certificat. 11.4. CISSP-Certified Infomiation Systems Security Professionals. 11.5. SSCP-System Security Certified Practitioner. 11.6. ISOInternational Organization for Standardization. 11.7. ETSI TSEuropean Telecommunications Standards Institute.



11.8. EIA/TIA-Electronic Industries Alliance/Telecommunica- tions Industry Association.

11.9. ISO/IEC-Internationai Organization for Standardization/ International Electrotechnical Com~nission.

11.10. NIST-Naiional Institute of Standards and Technology. 11.11. ACSI-Australian Communications Electronic Security

I~istruction. 11.12. LCR-Lista de Certificados Revocados. 11.13. LDAP-Protocolo de Acceso de Directorio de Peso ligero. 11.14. OCSP-Protocolo de Estatus de Certificados en Línea. 11.15. FIPSFederal Iniormation Processing Standards. 11.16. WC-Reqiiest for Comments. 11.17. TCP/IP Transmission Control Protocol/Inteniet Protocol. 11.18. IPSEC-Internet Protocol Security.

TRANSITORIOS

PKLMERO.-Las presentes Reglas entrarán en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

S ~ ~ u ~ ~ o . - E s t a s Reglas estarán sujetas a cambios y a una revisión anual de la Secretaría de Economía, debido a los constantes cambios en la industria, a los estándares, normas y criterios internacionales reconocidos para prestar el seMcio de certificación.

México, D.F., a 4 de agosto de 2004.-E1 Secretario de Economía, Fernando de Jesús Canales Clanund.-Rúbrica.

Para poder llevar a la práctica todo lo anterior, entre otras, se deberá realizar una Declaración de Prácticas de Certificación para las partes involucradas. Únicamente y a modo de ejemplo se presenta la siguiente.

DECLARACI~N DE PRÁCTICAS DE CERTIFICACI~N Octubre del 2004

El contenido de la presente Declaración de Prácticas de Certifi- cación constituye los términos y condiciones que rigen la prestación de los Servicios de Certificación Digital ofrecidos por la Asociación Nacional del Notariado Mexicano (ANNM) constituida como la Red de Certificación Digital de los Notarios Públicos (RCD) en la Repú- blica Mexicana, incluyendo la operación, emisión, administración, almacenainiento y revocación de los Certificados Digitales que ésta



emite. Dicha declaración se encuentra incorporada por referencia en cada uno de esos certificados digitales.

Esta declaración ha sido elaborada en el contexto de la declara- ción de prácticas de certificación a que se refiere el proyecto de régimen uniforme para las firmas digitales, en correlación con la ley modelo sobre comercio electrónico, elaborados por la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (UNCITRAL) y su finalidad es constituirse en el mecanismo for- mal de difusión y comunicación, para que los titulares de un certificado digital emitido por la Asociación Nacional del Notariado Mexi- cano, así como para con cualquier persona que pretenda usar y/o confiar CII dichos certificados.

Cualquier usuario (personas física o jurídica) que desee hacer uso de los servicios de certificación digital o pretenda utilizar o confiar en los certificados digitales emitidos por la Asociación Nacional del Notariado Mexicano, deberá reconocer y aceptar las políticas y procediinientos establecidos en la presente Declaración de Prácticas de Certificación. La sola utilización de dichos servicios o certificados constituye por sí misma manifestación expresa de aceptación y suje- ción a la presente declaración.

La información contenida en este documento, incluido su formato y disposición gráfica en conjunto, constituye una obra cuya propiedad intelectual pertenece a la Asociación Nacional del Notaria- do Mexicano, A.C. Se autoriza su reproducción o tratamiento iniormático, así como su transmisión o distribución, siempre y cuando se haga mención expresa a la titularidad de los derechos de autor, se haga en forma íntegra, exacta y completa y dicha reproducción, transmisión o distribución se lleve a cabo, además, sin fines de lucro.

Para cualquier aclaración, duda o comentario sobre este material deberá dirigir su comunicacióri a la Asociación Nacional del Notariado Mexicano, A.C., en Av. Paseo de la Reforma No. 454 Col. Juárez, México, D.F., CP 64000, Tel. (52-55) 5525-6452, Fax (52-55) 5511-9493. Correo electrónico: [email protected].

Esta sección es una niera referencia abreviada del contenido de la presente Declaración de Prácticas de Certificación y en consecuencia, quien desee hacer uso de los s e ~ c i o s de certificacióri digital o pretenda utilizar o confiar en los certificados digitales emitidos por ANNM, deben leer completamente este documento para conocer en detalle los términos y condiciones inherentes a dichos servicios o certificados.

Ámbito de aplicación: ésta y no otra declaración, sea verbal o escrita, constituye los términos y coridiciones que rigen la prestación d e



los servicios de certificación digital y la emisión, administración, almacenamiento y revocación de los certificados digitales emitidos por ANNM y su ámbito de aplicación se extiende a los usuarios de dichos servicios, a los titulares de certificados digitales emitidos por ANNM y a los terceros interesados que pretendan confiar o cotifien en tales certificados

Procedimientos: todo servicio y/o proceso de certificación digital ofrecido por ANNM está sujeto y regulado además par la celebración de un contrato expreso entre ANNM y sus clientes o, en su caso, por la Declaración Unilateral de Voluntad expresada ante Notario Públi- co por los usuarios de dichos servicios o certificados. En el contenido de dichos documentos se expresa con mayor amplitud los procedimientos aplicables.

Uso y Naturaleza: la tecnología en la cual se sustenta la prestación de los servicios de certificación digitai y la emisión, administración, almacenamiento y revocación de los certificados digitales ofrecidos por ANNM, le imprime confideucialidad, autenticidad, integridad y no repudiación de la información enviada o recibida a través de medios electrónicos; sin embargo, es responsabilidad del titular de un certificado su adecuada utilización y los alcances y repercusiones de dicho uso.

Revocación: no obstante que los certificados digitales son emitidos por regla general por un período determinado, a petición de su titular, de un tercero facultado o de una autoridad competente, éstos pueden ser revocados antes de que dicho período termine, ya sea por voluntad, por que la clave ha sido revelada o conocida por un tercero no autorizado, por que la clave haya sido revocada o por que simplemente concurra11 circunstancias que ameriten dicha revocación.

Expiración: por regla general, en concordancia con los estándares interriacioriales, los certificados digitales emitidos por ANNM tienen una vigencia por un año; sin embargo, la vigencia puede ser menor a petición expresa del solicitante: Nunca se expedirán certificados digitales con vigencia mayor a un año, excepción hecha de los erni- tidos a los Agentes Certificadores (Notarios ) del la Red de Certifica- ción Digital, en cuyo caso la vigencia de los certificados será por dos aiios.

Almacenamiento: la inforniación personal o empresarial obtenida por ANNM en la prestación de sus servicios de certificación digital y en la emisión de certificados digitales, es administrada en los térmi- nos que se definen en sus Políticas de Privacidad; sin embargo, los usuarios de los servicios de ANNM o los titulares de un certificado emitido por ésta reconocen y aceptan la necesidad de publicación de



los datos inherentes al tipo de certificado que hayan solicitado, para lo cual hacen manifestación expresa eu ese sentido.

Seguridad: en la prestación de sus servicios de certificación digital y en la emisión, administración, almacenamiento y revocación de certificados digitales ANNM ha implementado tecnología, mecanismos y procedimientos de seguridad del más alto nivel, los cuales son revisados y actualizados con cierta regularidad. La seguridad es revisada y evaluada en téminos de instalaciones físicas, de teleco~nuni- caciones, de hardware, de software y de personal.

Interol,erabilzdad: los servicios de certificación digital ofrecidos por ANNM y los certificados digitales emitidos por ésta son públicos y abiertos, por tal razón ANNM reconoce y acepta la posibilidad de intercambio e interacción con otras Autoridades Certificadoras, sean éstas públicas o privadas, nacionales o extranjeras; sin embargo, cualquier intercambio, interacción o interconexión deberá hacerse en un marco de equivalencia en términos de seguridad tecnológica, juridi- ca y de procedimientos.

Respomabilidades: excepción hecha de lo manifestado expresamente en la sección 9 de este documento y en los documentos complementarios, ANNM no ofrece garantía expresa ni tácita sobre sus senicios de certificación digital o los certificados digitales emitidos por ésta y por lo mismo, no será responsable por los daíios o peijuicios que sufran sus usuarios, si éstos derivan de la mala o indebida utilización de tales servicios o certificados.

Aspectos Generales: en lo conducente, la presente declaración de prácticas de certificación recogerá o asimilará el marco regulatorio que se haya implementado en cada país en el que opere ANNM y la Red de Certificación Digital de los Notarios Públicos correspondientes, en consecuencia este documento está sujeto a actualizaciones periódicas en razón de las disposicioiies legales que le resulten aplicables.

Esta y no otra declaración, sea verbal o escrita, constituye los ténni- nos y condiciones que rigen la prestación de los servicios de certifica- ción digital y la emisión, administración, almacenamiento y revocación de los certificados digitales emitidos por ANNM y su ámbito de apli- cación se extiende a los usuarios de dichos senicios, a los titulares de certificados digitales emitidos por ANNM y a los terceros interesados que pretendan confiar o confíen en tales certificados.

1 . l . Ámbito de Aplicación

ANNM cs una Autoridad Certificadora Internacional, es de ca- rácter privado en el ámbito de los certificados emitidos por sí niisma



y es de carácter público en el ámbito de la Red de Certificación Digital de los Notarios Públicos y ha sido creada para la emisión de certificados personales o de servidor de uso en los sectores comercial, financiero y gubernamental para la realización de operaciones de comercio eleciróriico.

La finalidad de los servicios de certificación digital ofrecidos por ANNM, es crear un marco razonable de seguridad jurídica y tecno- lógica, en el que ANNM, por intervención de los Notarios Públicos, se constituye en un tercero confiable para las partes iiivolucradas en una transacción electrónica.

Los Servicios de Certificación Digital que serán prestados por ANNM comprenderán entre otros, lo siguiente:

Emiszones de los Catz@cados: personales o de servidor. La emisión de certificados también podrá darse para Autoridades Subordinadas o para otras Autoridades Certificadoras, en el caso de una certifica- ción cruzada.

Revocación de Cntzjicados: para efecto de da< por terminada anti- cipadamente la vigencia de un certificado, ya sea por voluntad de su titular o porque concurrieron una o más de las causales descritas en la sección correspondiente de este documento.

Publicación de Certij5cados: una vez que el certificado digital haya sido emitido, éste será publicado en un directorio bajo las especificaciones X.500, u otra bajo cualquier otra especificación, de manera que terceros interesados puedan tener acceso a él.

Almacenamiento de Certtjicados: los certificados digitales emitidos y las lista de revocación de certificados (CRL's), son almacenados por un periodo determinado de tiempo debido a que el documento firmado digitalmente, por sí mismo, puede poseer un período de validez o vigencia más aniplio que de el certificado utilizado para firmar.

Registro de Certz@cados: tratándose de los certificados digitales emitidos por Notarios Públicos, en los casos que las disposiciones legales así lo determinen, para su incorporación al Registro Público de Comercio o en la base de datos que defina la autoridad que rija la actuación de los Notarios Públicos.

Recuperación de Claves: consistentes en proporcionar anticipada- mente a ANNM, para su custodia segura, una copia de la clave para el caso, los casos específicamente definidos por el titular de dicho certificado.



1.3 . Infraestructura de Certz$cación

Para cumplir con sus objetivos, ANNM hará uso de la infraestructura definida como Red de Certificación Digital, en la que parti- cipan con Notarios Públicos y sus Colegios o Asociación correspondientes. Los roles dentro de la Red de Certificación Digital son los siguientes:

Autmidad Certz$cadma: La Asociación o Colegio Nacionales que agrupen a los Notarios de cada país en el que opere ANNM. Es la titular del certificado raíz y emisora a su vez de los certificados digitales de sus agentes certificadores.

Agentes CertiJicadmes: conocidos también en la terminología internacional como Autoridades de Registro, serán los Notarios que estén afiliados a dicha asociación o colegio nacionales.

Operador de Infraestructura: tanto tecnológica como comercial, lo será ANNM, no obstante que fungirá también como Autoridad Cer- tificadora intermedia para la emisión de certificados digitales de prueba, para correo electrónico y aplicativos (niveles O, 1 y 2).

1.4. Tipos de Certificados

Por sí misma como Autoridad Certificadora y conio operadora- administradora de las Autoridades Certificadoras de los Notarios Públicos, ANNM podrá emitir la siguiente clase de Certificados Per- soriales o de Servidor:

Certificados Nivel O: son certificados personales o de servidor para efectos de PRUEBAS, no tienen valor legal alguno, son emitidos con el único fin de facilitar las pruebas de transmisión de información entre partes que utiiizan Intemet y desean un entomo más seguro en el envío y recepción dc mensajes.

Por su propia naturaleza, al no ser necesaria la presencia física del solicitante, generalmente se emiten, suspenden, revocan o renue- van en línea y con respecto a ellos ANNM no reconoce responsabilidad alguna de ninguna naturaleza.

Certificados Niuel 1: son certificados personales para E-MAIL, no tienen valor legal alguno y se emiten por instrucción o bajo la responsabilidad de la entidad interesada.

Son emitidos con el único fin de facilitar la transmisión de in- formación entre partes que utilizan Internet y desean un entorno más seguro en el envío y recepción de mensajes, básicamente por medio de correo electrónico. La seguridad que proporcionan sólo está referida a la confii-mación del nombre de una persona y la direc-



ción de correo electrónico con la que esa persona ha sido vinculada. Ambos elementos constituyen el único objeto de validación que ANNM les reconoce.

Certificados Nivel 2: son certificados personales, no tienen valor legal alguno y se emiten por instrucción o bajo la responsabilidad de la entidad interesada para entornos APLICATWOS.

Al surgir de un proceso de identificación realizado por la entidad solicitante a la que pertenece el titular del certificado, sólo po- seen la propiedad de autenticar la identidad y facultades de un sujeto deterniinado en términos de su pertenencia a dicha entidad.

Certi$cados Nivel 3: son certificados personales o de servidor, con valor legal pleno (por la intervención dc un Fedatario Público en el proceso de emisión) y son de alcance universal por la FE PUBLICA aplicada en ellos.

Son emitidos en un entorno más seguro y revestido de ciertos formalisrnos no sólo respecto de la identificación del solicitante del certificado, sino incluso respecto del proceso de emisión, ya que para ello resulta indispensable la comparecencia personal (física) del titular ante el Agente Certificador (Notario Público).

Estas formalidades, realizadas en el contexto del marco jurídico existente, proporcionan una mayor seguridad en las transacciones de comercio electrónico y garantizan al mismo tiempo la posibilidad de exigir su cumplimiento mediante los procedimientos jurisdiccio- nales tradicionales.

1.5. TecnoEogia Utilizada

Los certificados emitidos en el ámbito de la RCD están basados en los sistemas de criptografía de clave pública de RSA y cumplen con los estándares definidos para la versión 3 del formato X.509.

La tecnología aplicada en los productos utilizados por ANNM tia sido desarrollada por su socio tecnológico y han sido creados utilizando el más alto nivel de criptografía, siguiendo el modelo de criptografía de clave pública más reconocido y utilizado a nivel internacional (RSA) y de acuerdo a los estándares emergentes. Los productos no violan ningún derecho de gobierno o compañías extranjeras, así como tampoco están sujetos a sus restricciones.

De esta fonna, ANNM puede ofrecer el más alto nivel de seguridad (claves RSA de hasta 2048 bits de extensión y claves simétricas de 128 bits de longitud).

Las claves privadas de las Autoridades Certificadoras de ANNM y de los Notarios Públicos deberán ser generadas y almacenadas en



dispositivos de seguridad que cumplen con las especificaciones FIPS 140-1 eu cuanto a su nivel de seguridad.

2.0. Procedimientus de Certificación

Todo servicio y/o proceso de certificación digital ofrecido por ANNM está sujeto y regulado además por la celebración de un contrato expreso entre ANNM y sus clientes o, en su caso, por la Decla- ración Unilateral de Voluntad expresada ante Fedatario Público por los usuarios de dichos servicios o certificados. En el contenido de dichos documentos se expresa con mayor amplitud los procedimientos aplicables

2.1. Generación de Claves

La generación de las claves pública y privada necesarias para la emisión de un certificado digital deberá realizarse bajo el absoluto control d e quien será el titular de dicho certificado y será exclusiva responsabilidad de éste el tomar las medidas de seguridad que considere necesarias para el resguardo de la clave privada y la contrasciia de acceso a Esta.

Tratándose de certificados pcrsoiiales, la generación d e dichas claves podrá realimrse ya sea mediante la utilización del software que paIa tal efecto proporcionará ANNM de manera gratuita o incluso a traves del sitio web de ésta.

Tratándose de certificados para servidor web, las claves deberán generarse en el propio servidor donde dicho certificado será instalado, siguiendo para ello las i~istmcciories indicadas por el propio fa- bricante según el tipo de servidor de que se trate.

Sea que se trate de certificados personales o de servidor web, en anibos casos el proceso de certificación sólo puede ser iniciado con la preseiitación del requerimiento de certificación, tanto en su forma escrita como en su forma electrónica, ante la entidad solicitante si se trata dc certificados digitales iiiveles 1 y 2. o ante el Fedatario Público si se trata de certificados digitales nivel 3.

En dicho requerimiento, cl usuario deberá proporcionar todos y cada uuo de los datos que ahí se le solicitan sin oniisioues. La falta de requerimiento o la omisión de alguno de los datos solicitados dará lugar a la negacióu de los servicios de certificación.



2.3. Emisión de Certificados

Cumplidos los requisitos para la obtención de los certificados digitales niveles 1 y 2, ANNM procederá a emitirlos y en su caso a ponerlos a disposición de su titular en el sitio web www.ANNM.com, previa notificación que se haga a éste por medio de correo elec- trónico.

En el caso de los certificados digitales nivel 3, el proceso de emisión y entrega de dicho certificado se realizará forzosamente de manera presericial ante el Fedatario Público que funja como Agente Certificador, previa identificación que de manera plena y a satisfac- ción del Fedatario realice su titular o al representante legal de éste.

E1 proceso de solicitud de un certificado digital puede iniciarse a través del sitio web de ANNM, pero invariablemente deberá con- cluirse en los términos indicados en los procesos anteriores. No será emitido y entregado certificado digital alguno siii la autorización expresa de la entidad solicitante, para los certificados niveles 1 y 2, o sin la ratificación de la solicitud ante Fedatario Público, para los certificados nivel 3.

Independientemente de que los certificados digiiales emitidos por ANNM serán incorporados a la Base de Datos administrada por ésta para efectos de la publicación de las Listas de Revocación de Certificados o CRL's (por sus siglas en inglés) y para la prestación de servicios de información el tiempo real sobre el estatus de revo- cación o vigencia de dichos certificados, en algunos países (como es el caso de México) por disposición legal deberán ser registrados además en una base de datos central en ciertas circunstancias.

ESLO quiere dccir, en el caso de México, que para ampliar el soporte de legalidad de los certificados nivel 3 (en cuya emisión par- ticipa un Fedatario Público), dichos certificados deberán ser registrados eii el Registro Público de Comercio aplicando las fonnas M-38 (emisión) y M-39 (revocación) que seráti utilizadas por el propio Fedatario Público que participe en el proceso según se trate de emisión o de revocación de un certificado digital.

Para referencia, ambas fomlas están contenidas en el acuerdo que estaldcce las Cornias para llevar a cabo las inscripciones en el Registro Público de Comercio que fue publicado en el Diario Oficial de la Federación del día 18 de octubre del 2000.



~ 3.0. Uso y Ven$caciún de Certificados

La tecnología en la cual se sustenta la prestación de los servicios de certificación digital y la emisión, adrninistracióri, altnacenainiento y revocación de los certificados digitales ofrecidos por ANNM, le imprime confidencialidad, aulenticidad, integridad y no repudiación de la información enviada o recibida a través de medios electróiiicos; sin embargo, es respousabilidad del titular de un certificado su adecuada utilización y los alcances y repercusiones de dicho uso.

3.1 . Autmlicidad l

Al transmitir un mensaje electrónico utilizando certificados digitales un individuo puede determinar si cierta persona es el autor de tal mensaje o documenío electrónico o bien, si reconoce el contenido del mismo.

Para autenticar un mensaje electrónico, un usuario deberá utilizar la clave pública de la persona quc finnó digitalmente el mensaje electrónico recibido, si la clave pública corresponde a la clave privada con la cual se firmó, es decir, que el mensaje pueda ser interpretado, esto significa que dicho mensaje fue realmente creado por el titular de diclio certificado o que está reconociendo como propio su coute- nido.

Esta característica de los mensajes electrónicos transmitidos con certificados digitales de ANNM garantiza al usuario que la informa- ción enviada electrónicamente sólo podrá ser leida por la o las persona a las cuales va dirigida.

Esto se logra porque, al firmar digitalmente un mensaje utilizando además la clave pública del destinatario, éste es protegido (ensobretado) de tal forma que no podrá ser accesado más que por el poseedor de la clave privada vinculada a esa clave pública.

3.3. Integridad

Con los certificados digitales, también se evita que la informa- ción transmitida a través de medios electrónicos sea modificada en el transcurso de su envío y/o recepción, por el nivel de seguridad de la tecuología utilizada para la emisión de certificados digitales.



La integridad de los mensajes puede ser verificada revisando que el resumen (digestión) de un mensaje electrónico generado por remitente y adherido al final de dicho mensaje, sea igual al resumen del mensaje electrónico obtenido por el receptor. Este proceso de revisión ofrece la propiedad de determinar que cualquier cambio en el mensaje electrónico resultará forzosamente en un resumen diferente.

3.4. No Repudiación

Ya sea por un mecanismo de contratación previo que contempla la aceptación de los certificados digitales de ANNM corno medios de identificación electrónica, tratándose de los certificados niveles 1 y 2, o por la declaración unilateral de voluntad hecha ante Fedatario Público tratándose de los certificados nivel 3, los titulares de un certificado o los terceros interesados podrán establecer una cadena de confianza para garantizar quc ni la parte receptora ni la emisora pucdan negar haber realizado la transacción.

ANNM buscará adicionalmcnte establecer los mecanismos para proporcionar servicios, seguridad y confianza (time stainpirig) sobre la fecha y hora de realización de dichas transacciones.

3.5. Listas de Rmocación

Las Autoridades Certificadoras de ANNM y de los Notarios Pú- blicos darán publicidad al estatus de revocación de los certificados digitales emitidos por dichas AC's mediante las Listas de Revocación de Certificados que serán puestas a disposición del público en general con una periodicidad de al menos cada 24 horas.

No obstante, ANNM se reserva el derecho de llevar a cabo la difusión del estatus de revocación con una periodicidad y por medios distintos a las Listas de Revocación de Certificados (CRL's), si por disposición expresa de la ley, por así solicitarlo una autoridad competente o por solicitud expresa del titular del certificado así resulta conveniente.

Quien desee hacer uso de los servicios de certificacióri digital o pretenda utilizar o confiar en los certificados digitales emitidos por ANNM, deberá verificar las Listas de Revocación de Certificados.

4.0. Suspensión y Revocación de Cmti$cados

No obstante que los certificados digilalcs son emitidos por regla general por un período determinado, a petición de su titular, de un



tercero facultado o de una autoridad competente, éstos pueden ser revocarlos antes de que dicho período termine, ya sea por voluntad, por que la clave ha sido revelada o conocida por un tercero no autorizado, por que la clave haya sido revocada o por que simplemente concurran circunstancias que ameriten dicha revocación.

4.1. Causas de Suspasión o Revocación

Un certificado digital puede ser suspendido o revocado a solicitud expresa de su titular o del representante legal de éste, si para ello concurren una o más de las circunstancias que a su criterio ameriten la tenninación anticipada de la vigericia de dicho certificado. Tales circunsta~icias son:

El olvido o extravío de la contraseña de la clave privada. El robo o extravío de la propia clave privada. La sospecha de utilización de su clave privada por parte de un

tercero. El cambio dc alguno de los datos contenidos en el certificado

digital. La solicitud expresa de alguna autondad competenle. La suspensión y la revocación son de naturaleza distinta, ambas

son definitivas en cuanto a sus efectos y concluyen con la lennina- ción anticipada de la vigencia de un certificado digital; sin embargo, la suspensión es un paso previo, por razones de urgencia, a la revo- cación.

4.2. Solicitud de Susfiensión o Revocación

Tratándose de la suspensión o revocación de los certificados digitales niveles 1 y 2, la petición podrá ser realizada y concluida a través del sitio web de ANNM o por la vía telefónica, a través de su área de atención a clientes, cumpliendo en ambos casos con los requisitos que para validar el proceso se le requieran al solicitante, particularmente en cuanto al conocimiento de la clave de anulación. Sin la satisfacción de dichos requisitos, la solicitud será rechazada.

Para el caso de suspensión o revocación de los certificados digitales nivel 3, el proceso podrá ser iniciado igualmente a través del sitio web de ANNM o por lavía telefónica, cumpliendo con los requisitos corresporidieiites; sin enibargo, el proceso invariablemente deberá ser concluido dc manera presencial ante el Fedatario Público.

En caso de que la solicitud de suspe~isión o revocación sea presentada por una autondad competente, sea que se trate de certifica-



dos digitales niveles 1 y 2 o de certificados digitales nivel 3, invana- bleinente la solicitud deberá ser con la formalidad que caracterice las actuaciones de orden público de dicha autoridad.

4.3. Efeclos de la Suspensión o Revocación

El efecto inmediato de la suspensión de un certificado digital es la eliminación temporal de su capacidad para la generación legítima de derechos y obligaciones por un término rio mayor a 24 horas, concluido dicho período la eliminación de esa capacidad será absoluta, de conformidad con lo dispuesto en el punto 4.1.

Los efectos inmediatos de la revocación de un certificado digital son la expiración instantánea de su vigencia y la eliminación absoluta de su capacidad para la generación legítima de derechos y obligaciones.

En ambos casos, el certificado digital de que se trate pasará a formar parte de la Lista de Revocación de Certificados correspondiente. Si se trata de un certificado digital nivel 3, su revocación deberá ser registrada además en el Registro Público de Comercio o en la Base de Datos que al efecto determine la autoridad que rija las actividades de los Notarios Públicos.

4.4. Notijicación de Suspensión o Reuocación

No obstante que quienes desee11 hacer uso o pretendan confiar en los certificados digitales emitidos por ANNM deberán verificar, bajo su propio riesgo, el estatus de vigencia, suspensión o revocación de un certificado digital antes de proceder a la realización de una transacción electrónica, ANNM procederá a publicar dicho estatus a través de:

Una lista simple de certificados revocados disponibles a través de un canal seguro en su sitio web;

Una lista de revocación de certificados (CRL) que será publica- da con una periodicidad de al menos 24 horas.

ANNM podrá llevara a cabo la notificación en tiempo real sobre el estatus de suspensión, revocación o vigencia a solicitud expresa de los interesados, mediante la utilizacióii de sus servicios de publica- ción de certificados.



5.0. Expiración y Renovación de Cert$cudos

Por regla general, en concordancia con los estándares internacionales, los certificados digitales emitidos por ANNM tienen una vigencia por un año; sin embargo, la vigencia puede ser menor a petición expresa del solicitante. Nunca se expedirán certificados digitales con vigencia mayor a un año, excepción hecha de los emitidos a los Agentes Certificadores (Notarios) de la Red de Certifica- cióri Digital, en cuyo caso la vigencia de los certificados será por dos años. ' 5.1. Expiración de Cert@cados

Los Certificados Digitales emitidos por las Autoridades Certifica- doras de ANNM y de los Notarios Públicos tienen por regla general una vigcncia de un año; sin embargo, a solicitud expresa de su titular podrán ser emitidos por un período dc vigencia menor. En cualquier caso, el inicio de vigencia surtirá sus efectos en el momento mismo de su emisión y su expiración en el día y hora también ahí expresa- dos, considerando para tales efectos el tiempo universal coordinado (UTC).

No obstante la vigencia expresamente definida en los certificados digitales emitidos por las Autoridades Certificadoras de ANNM y de los Notarios, sus titulares podrán dar por terminados sus efectos por solicitud expresa siguiendo el procedimiento de revocación correspondiente al tipo de certificado de que se trate.

5.2. Renovación cle Certzjkados

En concordancia con los eslándares inteniacionales, las Autori- dades Certificadoras de ANNM y las de los Notarios Públicos podrán renovar los certificados digitales por ellas emitidos. Para ello, los titulares de dichos certificados deberán seguir el procedimiento establecido para la emisión original del certificado de que se trate, así como llevar a cabo nuevamente la acreditación de los elementos de identificación necesarios para su emisión.

ANNM hará su mejor esfuerzo para notificar, con un mes de anticipación, a los titulares de un certificado digital por ella emitido o por las Autoridades Certificadoras de los Notarios Públicos; sin embargo, será responsabilidad exclusiva de su titular y de quien pretenda utilizar o confiar en dichos certificados la verificación de su estatus de vigencia o revocación.



6.0. Almacenamiento y Respaldo de CertiPcados

La infonnación personal o empresarial obtenida por ANNM en la prestación de sus servicios de certificación digital y en la emisión de certificados digitales, es administrada en los términos que se definen en sus Políticas de Privacidad; sin embargo, los usuarios de los servicios de ANNM o los titulares de un certificado emitido por ésta reconocen y aceptan la necesidad de publicación de los datos inherentes al tipo de certificado que hayan solicitado, para lo cual hacen inariifestación cxpresa en ese sentido.

6.1. Período de Almcenamiento y Respaldo

Todos los certificados digitales emitidos por ANNM serán almacenados por un período no menor a 3 años para los certificados niveles 1 y 2, y por un período no menor a 5 años para los certificados nivel 3. En ambos casos dicho período empezará a computarse a partir del momento mismo de su emisión.

No obstante lo anterior, ANNM podrá extender el período de almacenamiento de dichos certificados sin importar su nivel, ya sea por disposición expresa dc la ley o por solicitud expresa de su titular.

6.2. Procedimiento de Almacenamiento y Respaldo

ANNM llevará a cabo el almacenamiento a que se refiere el punto anterior incluyendo en ello toda la información que resulte aplicable a certificado digital de que se trate, en términos de su emisión, suspensión, revocación o expiración, así como la documen- tación y la DPC que haya regido durante su período de validez. Los registros correspondientes inchiirán toda la evidencia relevante y disponible para ANNM relacionada con:

La obtención de certificados por parte de terceros interesados; El intercanibio con otras Autoridades Certificadoras; Las peticiones de revocación o suspensión hechas por una auto-

ridad competenle; Las peticiones de revocación o suspensión hechas por un terce-

ro interesado; Los registros que para efectos de auditoría por disposición legal

o por prácticas de la industria se deban conservar. ANNM hará su mejor esfuerzo para conservar y proteger la in-

tegridad de los archivos correspondientes. así como su disponibilidad para su ulterior consulta.



6.3. Medios de Almacenamiento y Respaldo

La infomiación resultante de la operación normal de ANNM y la proporcionada por los usuarios de los servicios de certificación digital y por los titulares de los certificados digitales emitidos por ésta, será almacenada en los medios que a criterio de ANNM garanticen razonablemente su integridad y disponibilidad para su ultenor consulta.

Los respaldos y la protección de esa información se realizarán de conformidad con las políticas y procedimientos que en su momento defina ANNM en esta Declaración de Prácticas de Certifica- ción o en documentos complementarios de uso reservado o acceso restringido.

6.4. Uso y Publicación de la Base de Datos

La infomiación resultante de la operación normal de ANNM y la proporcionada por los usuarios de los servicios de certificación digital y por los titulares de los certificados digitales emitidos por ésta, no será revelada, compartida, rentada o vendida a terceras personas o empresas, bajo ninguna circunstancia.

No obstante lo anterior, ANNM se reserva el derecho de revelar dicha información, sin autorización expresa de su titular, si ésta resulta necesaria para identificarlo, contactar10 o ejercer cualquier acción legal en su contra, por la violación de los términos y condiciones que regulan el uso de tales servicios o certificados.

De igual manera, ANNM podrá revelar la información personal, sin necesidad de autorización expresa de su titular, cuando le sea solicitada expresamente por alguna autoridad jurisdiccional o administrativa facultada para exigir dicha revelación.

1 7.0. Controles de Segzlridnd

En la prestación de sus servicios de certificación digital y en la emisión, administración, almacenamiento y revocación de certificados digitales ANNM ha implementado tecnología, inecanismos y procedimientos dc seguridad del más alto nivel, los cuales son revisados y ac~ualizados con cierta regularidad. La seguridad es revisada y evaluada en términos de instalaciones físicas, de telecomunicaciones, de hardware, de software y de persorial.



7.1. Controles de Seguridad Fííicos

ANNM hará su mejor esfuerzo para irnplementar controles de seguridad física con el objetivo de controlar el acceso al hardware y software de las Autoridades Certificadoras de ANNM y de los Nota- nos Públicos. Esto iucluirá las estaciones de trabajo y cualquier dispositivo complenientano o unidad criptográfica externa de hardware.

El acceso al hardware involucrado en la operación de la Autori- dad Certificadora de ANNM y las de los Notarios Públicos, estará restringido al personal específicamente designado.

7.2. Controles de Seguridad Lógicos

Las claves privadas de las Autoridades Certificadoras de ANNM y de los Notarios Públicos deberán ser generadas y almaceuadas en dispositivos de seguridad que cumplen con las especificaciones FIPS 140-1 y el acceso a éstos por parte dc los Agentes Certificadores se realizará a través de una Red Privada Virtual y estará protegido ade- más por corta fuegos que garanticen la seguridad en las comunicaciones.

7.3. Controles de Seguridad de Persrmal

ANNM hará su niejor esfuerzo para implementar controles de seguridad y adiniriistración del personal que tiene acceso a las operaciones cnptográficas, emisión, suspensión, o revocación de los certificados digitales emitidos por ésta, con el fin de proporcionar una seguridad razonable de la confiabilidad y competencia de sus em- pleados y de la ejecución satisfactoria de sus respoiisabilidades.

ANNM llevará a cabo una investigación inicial de todo el personal que es candidato para servir en posiciones de confianza, con el fin de proporcionar una seguridad razonable en la determinación de su confiabilidad y competencia.

8.0. Intmperabilidad y Aceptación de Cerlijicación

Los servicios de certificación digital ofrecidos por ANNM y los certificados digitales emitidos por ésta son públicos y abiertos, por tal razón ANNM reconoce y acepta la posibilidad dc intercambio e interacción con otras Autoridades Certificadoras, sean estás públicas o privadas, nacionales o extranjeras; sin embargo, cualquier intercambio, interacción o interconexión deberá hacerse en un marco de



equivalencia en términos de seguridad tecnológica, jurídica y de procedimientos. ' 8.1. Znterconexi6n con otras entidades

Es compromiso de ANNM hacer su mejor esfuerzo para garantizar la disponibilidad y operatividad de los servicios de certificación digital por ésta ofrecidos, en tal razón si para dar cabal cuinplimie~ito a ese compromiso o por requerimientos específicos de sus usuarios ANNM debe interconectarse con otras entidades, dicho proceso se llevará a cabo con eshicto apego a las políticas y procedimientos de seguridad física, lógica y de personal que se definan en esta Declara- ción de Prácticas de Certificación.

Todo proccso de interconexión que sea solicitado por usuarios dc ANNM, por otras entidades e incluso por una entidad de gobierno deberá realizarse además en observancia de las disposiciones legales que resulten aplicables y en su caso en observación de las mejores prácticas que imperen en la industria.

8.2 . Intercambio de Información con oEras AC's

El intercambio, con otras Autoridades Certificadoras, de la in- formación que resulte de la operación nornial de ANNM o que ha sido proporcionada por los usuarios de su servicios de certificación digital, sólo podrá darse con estricto apego a las políticas y procedimientos establecidos en esta Declaración de Prácticas de Certifica- ción y única y exclusivamente para los fines de verificación sobre el estatus de emisión, revocación, suspensión o expiración de certificados digitales.

En todo caso, la información objeto de intercambio sólo será aquella que se encuentre íntimamente vinculada con un certificado digital o se encuentre incorporada en él, para lo cual el titular de dicho certificado manifiesta por su sólo uso la aceptación sobre la posibilidad de ese intercambio.

8.3. Aceptación de Certijicados Extranjeros

ANNM, en su carácter de operador de las Autoridades Certifica- doras de los Notarios Públicos reconoce y inanifiesta expresamente la aceptación en términos de igualdad y nivel de seguridad sobre los certificados digitales emitidos por Autoridades Certificadoras extranjeras, siempre y cuando éstas sean las de los Notarios Públicos de tipo



Latino y hayan implementado tecnología, políticas y procedimientos iguales o similares a los implementados por ANNM.

Si para ese reconocimiento o aceptación fuese necesario el cum- pliniiento de requisitos legales que deriven de la legislación aplicable, ANNM liará su mejor esfuerzo para satisfacer los que por su parte le correspondan y dejará a la otra parte el cumplimieiito de los que a ésta apliquen.

Independientemente de lo anterior, para que dicho reconocimiento aplique en términos operativos y de negocio, será necesaria la firma del acuerdo o contrato respectivo y la definición u lionio- geueización de las Declaraciones de Prácticas de Certificación correspondientes.

I 9.0. Garantím y Limite de Responsabilidades

Excepción lieclia de lo manifestado expresamente en este documento y en los docunlentos o contratos compleinentarios, ANNM no ofrece garantía expresa o ni tácita sobre sus servicios de certificación digital o los cer~ificados digitales emitidos por ésta y por lo mismo, no será responsable por los daiios o pe juicios que sufran sus usua- nos, si éstos derivan de la mala o indebida utilización de tales servicios o certificados.

9.1. Garantias

Las garantías que otorgan ANNM, las Autoridades Certificadoras de los Notarios Públicos y los Notarios Públicos misinos, con respecto a los certificados digitales emitidos por ellos, aplican única y exclusivamente a los usuarios y/o titulares de dichos servicios y certificados, ni& no a cualquier otro tercero participante, y están definidas en razón del tipo de certificado de que se trate.

ANNM, las Autoridades Certificadoras de los Notarios Públicos y los Notarios Públicos mismos no garantizan expresa o implícita- mente, ni de cualquier otra forma, todo lo relacionado con los servicios de certificación digital y los certificados digitales emitidos por ellos, o cualquiera de las prácticas descritas en esta declaración de prácticas de certificación, incluyendo itivariablemente la veracidad, valida, autenticidad, confiabilidad, integridad o puntualidad de cualquier información contenida en un certificado. Las garantías aquí descritas son las únicas garantías ofrecida por ANNM, las Autorida- des Certificadoras de los Notarios Públicos y los Notarios Públicos mismos con respecto a sus obligaciones.



Tratándose de los certificados digitales niveles 1 y 2, ANNM no verificará la información suministrada en el requerimiento de certi- ficación por parte de la entidad solicitante o por parte de quien será su titular. Como consecuencia, ANNM no es ni será considerada como responsable de la veracidad de cualquiera de los datos contenidos en dichos certificados y quienes pretendan confiar en los certificados digitales niveles 1 y 2 deberán reconocer que sus titulares y/o la entidad solicitante son responsables por cualquier declaración falsa hecha a ANNM.

En este sentido, ANNM no garantiza bajo ninguna circunstancia la no repudiación de las transacciones realizadas por el titular de un certificado nivel 1 o 2, dado que esa circunstancia queda regida exclusivamente por los términos y condiciones que las partes se hayan expresado mutuamente, ya sea en forma verbal o escrita, así como por las leyes aplicables.

Tratándose de los certificados digitales nivel 3, la verificación de la informacióri suministrada en el requerimiento de certificación por parte de quien será su titular o por su representante legal, será realizada por el Fedatario Público correspondiente. En consecuencia, serán éstos los responsables de que tal verificación se haya realizado en los términos a que están obligados en el ejercicio de la Fe Pública de que están investidos. .

En términos de la legislación aplicable en cada país en el que ANNM opere, los Notarios Públicos harán del conocimiento del solicitante de un certificado digital, las penas o sanciones a que se hacen acreedores quienes se conducen con falsedad ante quienes están investidos de fe pública.

En todo caso, siempre quedará bajo exclusiva responsabilidad de quienes deseen hacer uso o pretendan confiar en un certificado digital de la decisión sobre el nivel de confianza que le otorgaran, así como el uso que le darán dicho certificado.

En la prestación de los servicios de certificación digital por parte de ANNM, por parte de las Autoridades Certificadoras de los Nota- rios Públicos y por parte de los Notarios Públicos mismos, la responsabilidad estará delimitada por las consecuencias legales y económi- cas que deriven del cumplimiento o incumplimiento de los requisitos establecidos para los distintos procesos y niveles de certificación.



La definición de dicha responsabilidad deberá partir de la base de considerar el rol que cada parte ejerce en el proceso de certifica- ción, y que tiene como finalidad:

A. Por parte de los Agentes Certificadores (Notarios Públicos), verificar y validar:

Que un sujeto determinado acredita su identidad y su capacidad legal para obligarse;

Que un sujeto determinado manifiesta su voluntad de que se le certifique la correspondencia de veracidad entre su identidad y la que dice ser su clave pública;

Que un sujeto determinado manifiesta expresamente su suje- ción a los términos y condiciones contenidos en esta Declaración de Prácticas de Certificación.

B. Para las Autoridades Certificadoras de los Notarios Públicos, verificar y validar:

Que un Agente Certificador ha cumplido con todos y cada uno de los requisitos necesarios para ejercer dicha función;

Que han otorgado la licencia de Agente Certificado sólo a Nota- rios Público que cuentan con la infraestructura tecnológica para fingir como tales; y

Que existe correspondencia de veracidad entre la identidad de un Agente Certificador y su clave pública, con respecto a un certificado digital emitido por éste.

C. Para ANNM (en su carácter de operador), verificar y validar que en la operación de los servicios de certificación digital:

Que ha implementado y aplicado los estándares de seguridad y criptografía necesarios con un nivel razonable de confiabilidad;

Que los servicios estarán en operación las 24 horas del día, durante los 365 días del año; y

Que aplicará su mejor esfuerzo para garantizar la permanente actualización de la tecnología utilizada y la consecuente aplicación de los estándares nacionales e internacionales que corresponda.

En la prestación de los servicios de certificación digitd por parte de ANNM, por parte de las Autoridades Certificadoras de los Nota- rios Públicos, por parte de los Notarios Públicos y por parte de quienes deseen hacer uso de dichos servicios o pretenda utilizar o confiar en los certificados digitales emitidos por aquéllos, se reconocen y manifiestan expresamente las siguientes causas excluyentes de responsabilidad:



Ni ANNM, ni las Autoridades Certificadoras de los Notarios Públicos, ni los Notarios Públicos serán responsables por los daños o pe juicios de cualquier naturaleza incluyendo, pero sin limitar, pérdi- da de utilidades, interrupción de operaciories, pérdida de infornia- ción comercial o cualquier otro daño pecuniario; si éstos derivan de la mala o indebida utilizacióii de los servicios de certificación digital por parte de los usuarios finales; de la mala o incorrecta interpreta- ción, análisis, síntesis o conclusión a que los usuarios finales lleguen en el uso de dichos servicios; e incluso, si el solicitante de un certificado digital aporta datos o documentos falsos para la obtención de dicho certificado;

Ni ANNM, ni las Autoridades Certificadoras de los Notarios Públicos, ni los Notarios Públicos, serán responsables por la interrup cióii o alteración temporal de los servicios de certificación digital por causas ajenas a su voluntad, propiciada por condiciones climatológi- cas adversas, fallas en la energía eléctrica, fuego, actos vandálicos, huelga o cualquier otro motivo similar que afecte sus instalaciones; así como por la interrupción o alteración tenipoi-al de los servicios de certificación digital por causas similares o por errores, omisiones o negligeucia que afecten las instalaciones de transmisión, enlace y bases de repetición de los proveedores de telecomuriicaciones de ANNM; y,

Ni ANNM, ni las Autoridades Certificadoras de los Notarios Públicos, ni los Notarios Públicos, serán respolisables de la interrup cióii teniporal del servicio ocasionada por acciones gubernamentales qnc coarten o restrinjan la libertad en las comunicaciones civiles o que impidan su transmisión privada o incluso, por cualquier otro motivo de naturaleza análoga.

En todo caso, la responsabilidad económica que ANNM reconoce para con los titulares de un certificado digital o para coi] cualquier otra persona por los daños relacionados o surgidos con o por la aplicación, aceptación, confianza u otro uso que se dé a los certificados digitales niveles 1 y 2 no excederá bajo ninguna circunstancia de $ 50.00 usd, ni de $ 500.00 USD para los certificados digitales nivel ?J. Dichos montos aplicarán en la base a un certificado individualmente determinado, sin considerar ni el monto ni el número de firmas digitales o transacciones aplicadas o realizadas con dicho certificado.

En lo conducente, la presente declaración de prácticas de cer- tificación recogerá o asimilará el marco regulatorio que se haya imple-



mentado en cada país en el que opere ANNM y la Red de Certifica- ción Digital de los Notarios Públicos correspondientes, en consecuencia este documento está sujeto a actualizaciones periódicas en razón de las disposiciones legales que le resulten aplicables.

1 O. 1. Marco Legal

Para los efectos a que haya lugar y para el caso de interpretación sobre el contenido y cumplimiento de la presente Declaración de Prácticas de Certificación, ANNM se somete expresamente a lo dispues- to por la legislación que resulte aplicable en la materia en cada país en el que ANNM opere.

En tal sentido, quienes deseen hacer uso de los servicios de cer- tificación digital de ANNM o pretendan utilizar y/o confiar en un certificado emitido por ésta, deberán remitirse constantemente al sitio web www.notariadomexicano.org.mx/ y obtener ahí la versión más reciente de la Declaración de Prácticas de Certificación que rija las operaciones de ANNM en ese momento para el país de que se trate.

10.2. Propiedad Intelectual

ANNM, certificación digital, firma digital, sitio certificado, red de certificación digital y sus respectivos logotipos, son marcas regis- tradas de ANNM. Cualquier otra referencia a nombres y marcas en este documento se hace a título informativo y los derechos de propiedad intelectual corresponden a su titular.

Las claves pública y privada son propiedad de su legítimo poseedor o titular en términos del contrato celebrado entre éste y ANNM o en tErminos de la declaración hecha por éste ante Fedatario Público.

Los certificados contienen material con derechos de autor, niarcas, y otra información propietaria. No se permite el copiado, ingeniería inversa, hojeado automatizado o vaciado de computadora, distribución, publicación o explotación comercial del material o in- fonriación disponible en o por medio de los certificados, excepto como expresamente sea permitido bajo los términos y condiciones de esta Declaración de Prácticas de Certificación.

10.3. Glosario de Térn~inos

Para los efectos legales a que haya lugar y para la adecuada interpretación del presente documento, en lo sucesivo deberá



entenderse que cada vez que se citen, los siguientes términos signi- ficari: I

Agmtes Cer1i;ficadmes: Entidad subordinada de las Autoridades Certificadoras cuya función es realizar la identificación del titular solicitante del Certificado Digital. También conocidos en la termino- logía internacional, como Autoridades de Registro. Un ejemplo son 10s Notarios que estén aíiliados a su Autoridad Certificadora correspondiente.

Autoridades Certificadoras: Entidades encargadas emitir los Certi- ficados Digitales de los requerimientos que cumplan a satisfacción con los requisitos para su obtencióii. Realiza además las funciorics de revocación, publicación, almaccria~niento y registro de Certificados. Esta entidad es la titular del certificado raíz y emisora a su vez de los certificados digitales de sus agentes certificadores y se constituye en un tercero confiable para las partes involucradas en una transacción electrónica.

Autoridades de Registro: Entidad subordinada de las Autoridades Certificadoras cuya función es realizar la identificación del titular solicitante del Certificado Digital. También conocidos en la temiino- logía internacional, como Agentes Certificadores. Un ejemplo son los Notarios que estén afiliados a su Autoridad Certificadora correspondiente.

Certificación Digital: Proceso de verificación de identidad realizado por una entidad de confianza (tercero confiable) y la cual emite un Certificado Digital a nombre del titular del certificado que quiere hacer uso del proceso de firma digital o la identificación de servidores que consiste en la Generación de claves y requerimiento de certificación, identificación del titular del requerimiento, emisión del certificado por una Autoridad Certificadora y registro del certificado.

Certificado Digital: Documento Electrónico que proporciona in- formación de la identidad del titular del certificado, la clave pública a la cual está vinculando, la identidad de la Autoridad Certificadora que emite el certificado así como su clave pública con fines de verificar la veracidad del Certificado Electrónico.

Certijcados para Seruidor Web: Documento Electrónico que identifica a un servidor Web seguro y su uso permite a la persona que se está conectando a ese servidor Web estar segura de la identidad del servidor.

CertzJicaúu~ X.509: Estándar utilizado para guardar la informa- ción contenida en los Certificados Digitales, así corno a las Firmas Digitales que los protegen.



Clave Privada: Es utilizada para la generación de las firmas digitales y también para encnptar información. Esta clave NUNCA debe de compartirse ni difundir la frase de seguridad que permite el acceso a ella.

Clave Pública: En la criptografía de clave pública, esta clave se hace pública a todo el mundo y es utilizada para desencriptar infor- mación y verificar firmas digitales.

Criptografla: Es la ciencia que utiliza las matemáticas para mantener las comunicaciones privadas y proteger información sensible creando un alto grado de confianza en el mundo electrónico.

Criptografia de Clave Pública o Asiméhica: Es un sistema criptográfico que utiliza dos claves distintas para los procesos de encripción y des- encripción. Las dos claves son la Clave Pública y la Clave Privada (la cual es conservada en secreto), los datos encriptados con la Clave Pú- blica sólo pueden ser desencriptados con la correspondiente Clave Privada.

CnptograJa de Chue Secreta o Simétrica: Es la tecnología en la cual los procesos de encripción y desencripción utilizan la misma clave, conocida como Clave Secreta. Los usuarios comparten la clave secreta.

Declaración de Prácticas de Certificación,: Documento que contiene los términos y condiciones que rigen la prestación de los Servicios de Certificación Digital ofrecidos por la Autoridad Certificadora o la Red de Certificación Digital de los Notarios Públicos de cada país en el que ésta opere, incluyendo la emisión, administración, almacenamiento y revocación de los Certificados Digitales que ésta emite.

L)esmcriptar: Proceso de interpretar o convertir un texto encrip tado a su estado original mediante el uso de la clave que desencripta el texto.

Digestión: Método para reducir un mensaje de cualquier longitud a una longitud fija llamada "digestión del mensaje" de la cual es computacionalmente imposible encontrar dos mensajes distintos con la misma digestión o encontrar un mensaje a partir de una digestión conocida. Este método es utilizado como parte del proceso de Firma Digital.

Encriptar: La transformación de un texto legible en otro totalmen- te diferente e ininteligible a simple vista por medio de un proceso matemático y el cual sólo pueda ser leído por quien tiene la clave que desencripta el texto.

Ensobretado: Proceso mediante el cual se "ensobreta digitalmente" o "sella digitalmente" u11 documento por medio del cual nadie más que el receptor indicado puede abrir.



Expiración: Los Certificados Digitales y las Claves tienen un pe- nodo de vida limitado, para lo cual las fechas de expiración son utilizadas.

Finna Digital: Es una función por medio de la cual cualquiera puede verificar que un mensaje no haya sido modificado así corno la identidad del firmante. Este proceso aplica una "digestión" a un mensaje original, la cual es encriptada con la clave privada del "firmante" o titular del Certificado Digital.

El Mensaje original y la digestión encriptada son enviados al d e s tiriatario del niensaje. El destinatario desencripta la digestión con la clave pública del firmante y al mensaje original le aplica el mismo proceso de digestión y los compara, si son iguales el mensaje es auténtico y el receptor puede determinar con certeza que el mensaje no fue modificado y que fue firmado por el titular del Certificado Digiral.

Fomas M-38 y M-39: Formas utilizadas por el Fedatario Público para realizar los trámites de ernisión o de revocación de un certificado digital ante el Registro Público de Comercio.

Listas de Raiocación de Certzlficados (CRL): Contiene los certificados revocados, manteniéndose ahí hasta su fecha de expiración.

Mensajes: Es la representación digital de la información y que es generada, enviada, recibida, archivada o comunicada a través de medios elcctrónicos, ópticos o cualquier otra tecnología.

No Repudiación: Propiedad de los sistemas criptográficos por medio de la cual los usuarios no pueden negar acciones realizadas por ellos.

Red de Certificación Digital: Infraestructura creada para ofrecer los Servicios de Certificación Digital, la cual cuenta con sistemas para la administración tanto de los procesos dc generación de claves y certificación, como para el proceso de distribución de información de los certificados y cuenta con los siguientes participantes: la Auto- ridad Certificadora, los Agentes Certificadores y el Operador de Infraestructura.

Registro fiblico de Commio: En el Registro Público de Comercio se inscriben los actos mercantiles, así como aquellos que se relacionan con los comerciantes y que conforme a la legislación lo requieran. Registro Público de Comercio contará con una base de datos y un programa informático, en los cuales se realizará la captura, almacenamiento, custodia, seguridad, consulta, reproducción, verificación, administración y transmisión de esta iriformación.

Requerirnienlo de Certzlficación: Documento electrónico que contiene los datos de identificación del solicitante del certificado y contiene



uua clave pública a la cual se está vinculando, este documento será presentado al Agente Certificador para que realice las indagaciones necesarias para verificar la identidad del solicitante y la posesión de la clave privada correspondiente a la clave pública que ostenta.

Revocación: Es la anulación de un Certificado Digital antes de su fecha de expiración, esta anulación puede ser por: robo, olvido o extravío de la contrasena de la clave privada o de la propia clave privada, la sospecha de utilización de la clave privada por parte de un tercero no autorizado, cambio de alguno de los datos contenidos en el certificado digital o a solicitud expresa de alguna autoridad competente.

Suspensión: La suspensión es un paso previo a la Revocación del Certificado, la cual aplica por razones de urgencia.

117%: Tiempo Universal Coordinado. i ime Stamping: Registro que matemáticamente liga a un docu-

mento con una fecha y hora de creación o de firmado o de transmi- sión.

Los Notarios en el Distrito Federal estamos en posibilidad de iniciar la Certificación de Firmas Electrónicas de acuerdo con nuestra legislación actual y conforme a los siguientes documentos notariales que tarnbién se incluyen únicaniente como ejemplo.

TESTIMONIO DEL ACTA DE RATIFICACI~N DE FIRMA Y DECLARACIONES, QUE OTORGA EL SENOR XX.

LIBRO XX. - - - - - - XX/XX/XX . INSTRUMENTO XX . MÉXICO, DISTRITO FEDERAL, a XX de octubre de dos mil

cuatro. JOSÉ DE JESÚS NINO DE LA SELVA, titular de la Notaría

número SETENTA Y SIETE del Distrito Federal, a solicitud del compareciente que más adelante se menciona, hago constar:

LA RATIFICACIÓN DE FIRMA Y LAS DECLARACIONES. Q L I ~ antc mí otorga el señor XX , a quien le advertí de las penas

en que incurren los que declaran con falsedad, de confonnidad con los artículos doscientos cuarenta y siete del Código Pcrial y ciento sesenta y ciuco de la Ley del Notariado, ambos para el Distrito Fede- ral, al tenor de los siguientes capítulos:



CAP~TULO PRIMERO

Ratzjicación de firma

El sefior XX, ine exhibe original y una copia fotostática de una "SOLICITUD REQUERIMIENTO DE CERTIFICACION, de fecha XX de XX de dos mil dos.

La copia fotostática es una reproducción fiel y exacta de su original con el que la comparé.

El compareciente puso ante mí, la firma que aparece en cada uno de dichos documentos, ratificando su contenido.

Con la letra " A , agrego al apéndice de esta acta la copia fotostática del documento. El original, debidamente certificado, lo devuelvo al coinparecie~ite.

CAP~TULO SEGUNDO

Declaraciones

Declara llamarse como ha quedado dicho, ser mexicano, ongi- iiario de México, Distrito Federal, lugar donde nació el día ocho de mayo de mil novecientos cincuenta y nueve, con domicilio en Aveni- da Dr. Vértiz número ochocientos setenta y dos, colonia Narvarte, delegación Benito Juárez, código postal número cero tres mil veinte, y de ocupación abogado.

Declara y manifiesta formalmente su deseo y voluntad de que en lo futuro liará uso de la Clave Privada, correspondiente a la Clave Pública que le ha sido certificada previamente en los términos del documento identificado como "SOLICITUD-REQUERIMIENTO DE CERTIFICACI~N, para Firmar Digital y/o electrónica~nente Mensa- jes de Datos y llevar a cabo su envío e intercambio a través de medios electrónicos, con toda persona física que por sí o en representación de una persona moral, pública o privada, haya expresado su voluntad de hacer uso de una Clave Privada en los mismos términos de formalidad y responsabilidades.

Declara que está consciente de los alcances y responsabilidades legales y económicas que derivan de hacer uso de su Clave Privada para Finnar Digital y/o electrónicamente Mensajes de Datos, por lo



que le otorga, a dicha firma, los mismos efectos que las leyes le conceden a los documentos suscritos con su firma autógrafa y por lo mismo reconoce y acepta que tendrán el mismo valor probatorio, asumiendo además, que hará uso de la misma en forma personal y que mantendrá con la debida reserva y secreto la clave privada correspondiente.

Declara quc conoce y acepta las prácticas de certificación de Firmas Digitales y/o electrónicas y conoce las políticas y procedimientos que rigen la prestación del servicio de Certificación Digital, bajo los estándares de seguridad nacionales o internacionales en la materia.

Manifiesta que esta declaración unilateral de voluntad surtirá sus efectos, única y exclusivamente en el ámbito de las transacciones realizadas por medios electrónicos con aquellas personas físicas o morales, públicas o privadas, que hayan manifestado su voluntad en y por un medio como el aquí utilizado o cuya facultad para realizar ese tipo de transacciones esté contemplada por la ley o por una disposición reglamentaria o administrativa legalmente emitida.

YO, EL NOTARIO, CERTIFICO: IDENTIFICACI~N DEL NOTARIO. 1. Que me identifiqué plenamente ante el compareciente de

esta acta. IDENTIFICACI~N DEL COMPARECIENTE. 11. Que a mi juicio el compareciente tiene capacidad legal para

la celebración de este acto, y que me aseguré de su identidad conforme al anexo que agrego al apéndice de esta acta con la letra " B .

GENERALES. 111. Que el compareciente declara por sus generales ser: Mexicano, originario dc México, Distrito Federal, lugar donde

nació el día ocho de mayo de mil novecientos cincuenta y nueve, con domicilio en Avenida Dr. Vértiz número ochocientos setenta y dos, colonia Narvarte, delegación Benito Juárez, código postal número cero tres niil veinte, y de ocupación abogado.



DOCUMENTOS ORIGINALES. IV. Que tuve a la vista los documentos citados en esta acta. LECTURA PERSONAL. V. Que hice saber al compareciente el derecho que tiene de leer

personalmente esta acta y de que su contenido le sea explicado por el suscrito notario.

LECTURA Y EXPLICACI~N. VI. Que leída y explicada esta acta al compareciente, manifestó

su comprensión plena y su conformidad con ella y la firmó el día de su fecha, mismo momento en que la autorizo.

Doy fe.

NINO. - - - - - FIRMA.

EL SELLO DE AUTORIZAR. EXPIDO PRIMER TESTIMONIO, PRIMERO EN SU ORDEN,

PARA CONSTANCIA DEL SEÑOR XX, EN TRES PÁGINAS, Y PRO- TEGIDO CON KINEGRAMAS.

MÉXICO, DISTRITO FEDERAL, A xx DE OCTUBRE DE DOS MIL CUATRO.

DOY FE.

Al documento ratificado se le agregará la siguiente razóu:

j o s É DE JESÚS NINO DE LA SELVA, TITULAR DE LA NOTA- RIA NÚMERO SETENTA Y SIETE DEL DISTRITO FEDERAL, CER- TIFICO:

QUE ANTE Mí COMPARECIÓ EL SENOR XX, DE CUYA IDEN- TIDAD ME ASEGURÉ Y PUSO ANTE MI LA FIRMA QUE APARECE EN ESTE DOCUMENTO, RATIFICANDO SU CONTENIDO.

LO ANTERIOR CONSTA EN EL ACTA MARCADA CON EL NÚMERO XX, DE FECHA xx DE OCTUBRE DE DOS MIL CUA- TRO, ANTE ~ í .

DOY FE. MÉXICO DISTRITO FEDERAL, A xx DE OCTUBRE DE

DOS MIL CUATRO.

Al apéndice del itistru~nento notarial correspondiente se agre- gará el documerito siguiente:



SOLICITUD-REQUERIMIENTO DE CERTIFICACI~N El que suscribe, XX, mexicano, originario de México, Distrito

Federal, lugar donde nació el día ocho de mayo de mil novecientos cincuenta y nueve, con domicilio en Avenida Dr. Vértiz número ochocientos setenta y dos, colonia Narvarte, delegación Benito Juárez, código postal número cero tres mil veinte, y de ocupación abogado, rrianifiesto formalmente mi deseo y voluntad de que:

Se me certifique y registre la titularidad sobre la Clave Pública que reconozco como mía y que está vinculada a una Clave Privada que habré de usar para Firmar Digital y/o electrónicamente Mensajes de Datos y llevar a cabo su envío e intercambio a través de medios electrónicos, entre los que se iricluye cable, fibra óptica, microondas, satélite o cualquier otro medio análogo que represente el uso de tecriologías en línea, tales como Internet, redes de área local, redes de área amplia, intercambio electrónico de datos (EDI), correo elec- trónico, etc., y cuya percepción o reproducción se realiza por medio de u11 equipo de cómputo.

Para el caso, dicha Clave Pública, quedará relacionada con los siguientes datos que, bajo protesta de decir verdad, declaro son ciertos:

DATOS DEL TITULAR. Nombre: XX. Razón social: XX. Domicilio: XX. C.P. XX. Ciudad: XX. Estado: XX. R.F.C. XX. Representante Legal: XX. Domicilio: XX. C.P. XX. Ciudad: XX.

i Estado: XX. R.F.C. XX.

l Correo Elec~rónico: XX.

Manifiesto asimismo, que reconozco los alcances y respoiisabilidades legales y económicas que derivan de este acto, razón por la cual y en documento por separado haré la manifestación correspondiente, en el sentido dc que le otorgo y reconozco al uso de mi Firma Digital y/o electróuica los misnios efectos que las leyes le conceden a mi firma autógrafa.



Anexo a este documento, entrego el archivo electrónico que coutiene la información de referencia a fin d e que sea procesada, validada y registrada ante la Agencia Certificadora, la Agencia Regis- tradora y la Agencia Registradora Central que corresponda, así corno la documentación e identificación que me acreditan como la persona que digo ser.

Para los efectos legales que haya lugar, reconozco y acepto que el Certificado sobre mi Clave Pública sea registrado ante la Agencia Registradora que corresponda y puesto a disposición del público en general para la libre consulta sobre su status de vigencia o revo- cación.

México, D. F., a XX de octubre de 2004.

Atentamente.

Para poder entrar de lleno a la actuación notarial en el mundo electrónico y digital, se propone adecuar la Ley del Notariado del Distrito Federal y las correspondientes de los Estados de la Republica Mexicana en los téminos siguientes.

Reformas propuestas a la Ley del Notariado del Disnito Federal en materia de actuación electrónica del Notario.

ART. 67 VI. Registrarse como Notario Agente certificador digital, de con-

formidad con los criterios y bases que establezca el Colegio. ... DEL SELLO DE AUTORIZAR.. . ART. 69.-. . . El Notario tanibién podrá ejercer su facultad fedataria mediante

un sello electrónico, óptico o de cualquier otra teciiología que garantice la seguridad jurídica y tecnológica, cuando se requiera su inter- vención en el ámbito electrónico, de conformidad con los criterios y bases que establezca el Colegio.

DEL PROTOCOLO ELECTR~NICO. ART. 76 Protocolo ELECTRÓNICO es el corijunto de medios electróni-

cos, ópticos o de cudquier otra tecnología mediante los que el n o tario, observando las formalidades que establece la preseiite Ley, podrá generar, enviar, recibir, comunicar, archivar, o autorizar, en forma integra, los hechos y actos jurídicos que se otorguen ante su fe, asegurándose que dicha información es atribuible a las personas



obligadas y ésta se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y es además accesible para su ulterior consulta, en cuyo caso el Notiuio deberá hacer coiislar en el propio instrumento electrónico los elementos a través de los cuales se atribuya ese hecho o acto jurídico a la o las partes, conservando siempre bajo su resguardo una versión íntegra dc la misma para su ulterior consulta, otorgando dicho ins Lrumento en los términos establecidos en la presentejey.

Para la formación del Apéndice electrónico y del Indice electró- nico, el Notario podrá utilizar cualquier medio electrónico, óptico o de cualquier otra tecnología, que garantice que dicha información es atribuible a las personas obligadas, que se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y es además accesible para su ulterior consulta.

Eii cualquier caso en que el notario genere, envíe, reciba, comu- nique, archive, o autorice, hechos y actos jurídicos que se otorguen ante su fc, este y las partes firmaran, y/o encriptarán electrónicamente la iiiformación que sea atribuible a las personas obligadas, con mé- todos razonablemente seguros que garanticen la seguridad tecnoló- gica y jurídica de información, de conformidad con las leyes y con los criterios establecidos para ello por el Colegio de Notarios del Distrito Federal.

En todas las actuaciones electrónicas, el notario observará las reglas establecidas en la presente ley para su debida actuación, observando y carribiando las particularidades específicas de conformidad con los criterios que fije el colegio.

DE LAS ESCRITURAS.

ART. 100 1. ... 11. ... 111. El original consistente en el documento electrónico median-

te el cual el notario genera, envía, recibe, comunica, archiva, o autoriza, en forma integra, el acto jurídico que se le solicita, elaborándolo a través dc medios electrónicos, ópticos o de cualquier otra tecnolo- gía, asegurándose que dicha información es atribuible a las personas obligddas, que se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y es además accesible para su ulterior consulta.

En todos los casos, el notario deberá observar todas y cada una de las formalidades para la elaboración del documento notarial que se seiialari en la prescnte ley



ART. 1 O%-. . . N. Mediante la referencia que haga a la base de datos corres-

pondiente en donde conste el certificado digital o firma electrónica de un otorgante, realizada ante otro notario autorizado y que éste lo haya identificado en términos de la presente ley o de su equivalente del estado de que se trate.

ARr. 119 V. Si se trata de la renuncia o de la revocación dc un certificado

digital, independientemente de que lo haya emitido o no el mismo Notario, procederá a elaborar el acta correspondiente en la que asen- tará las particularidades de dicha renuncia o revocación y, mediante registro a través de medios electrónicos, ópticos o de cualquier otra tecnología, lo hará del conocimiento de la autoridad competente en la que se haya registrado la emisión o expedición de dicho certificado.

En todo caso, el Notario procederá de conformidad con las leyes y con los criterios establecidos para ello por el Colegio de Notarios del Distrito Federal.

De las actas

ART. 125.-. . . Acta notarial también es el documento electrónico mediante el

cual el notario genera, envía, recibe, comunica, archiva, o autoriza, en forma integra e inalterable, uno o varios hechos presenciados por él o que le consten, a solicitud de parte interesada, elaborándolo a través de medios electrónicos, ópticos o de cualquier otra tecnología, asegurándose que dicha información es atribuible a las personas obligadas y ésta se mantiene accesible para su ulterior consulta.

En todos los casos, el notario deberá observar todas y cada una de las formalidades para la elaboración del documento notarial que se seiialan en la presente ley

ART. 140.-. . . La misma regla deberá observarse en tratándose de certificados

digitales emitidos por fedatarios públicos extranjeros, siempre que éstos cumplan con lo establecido en la presente ley y en las especiales que los rijan, pero tomando en consideración que se trata de documentos electrónicos.

DI? los testimonios

ART. 143 Testimonio es también el documento electrónico en donde consta

que el notario transcribió en forma integra e inalterada, el contenido



de una escritura o acta elaborándolo a través de medios electró~iicos, ópticos o de cualquier otra tecnología, asegurándose que dicha in- formación es atribuible a las personas obligadas y ésta se mantiene accesible para su ulterior consulta.

En todos los casos, el notario deberá observar todas y cada una de las formalidades para la elaboración del documento notarial que se señalan en la presente ley.

ART. 162.-. . . IV. Si fuere finnado por las partes o autorizado por el Notario

fuera del Distrito Federal, excepción hecha de los instrumentos a que se refiere la fracción 111 del articulo 100, de la presente ley.

ART. 237.-. . . V. Con los certificados digitales o electrónicos y con cualquier

otro documento electróuico otorgado ante notario en términos de la presente ley.

&T. 249 ... XXXIV. Proponer, formular y fomentar la actuación por vía elec-

trónica del Notariado, así como coadyuvar en la organizacióii y capaci- tación de los Notarios, las partes y las autoridades en dicha actuación y establecer, en su caso, las bases regulatonas en ese sentido.

Con todo lo anterior, pretendo que el lector tenga una visión completa y específica del panorama que a octubre del año 2004 priva en México en inatena de Fimias Electrónicas y/o Digiiales, y en especial en el Distrito Federal en donde me honro en ser Notario y asiinismo trato de convencer a las Autoridades Notariales y del Go- bierno Federal y Local para adecuar los ordenaniientos jurídicos que falta por actualizar y que se dé mayor impulso a la actuación jurídicw notarial por medios cihernéticos.



uc. josÉ de la - unam

Documents